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Procede, systeme, dispositif pour diminuer la charge de travail pendant 
une session destinee a prouver I'authenticite d'une entite et/ou Torigine 
et Tintegrite d'un message. 

La presente invention conceme les precedes, les systemes ainsi que les 
dispositif s destines a prouver Tauthenticite d'une entite et/ou rorigine et 
rintegrite d'un message. 

Le brevet EP 0 311 470 Bl dent les inventeurs sent Louis Guillou et Jean- 
Jacques Quisquater decrit un tel precede. On y fera ci-apres reference en le 
d6signant par les termes : « brevet GQ » ou « procede GQ ». 
Selon le procede GQ, une entite appelee « autorite de confiance » attribue 
une identite a chaque entite appelee « temoin » et en calcule la signature 
RSA; durant un processus de personnalisation, T autorite de confiance 
donne identite et signature au temoin. Par la suite, le temoin proclame : 
« Void mon identite ; j'en connais la signature RSA. » Le temoin prouve 
sans la reveler qu'il connait la signature RSA de son identite. GrSce a la cle 
publique de verification RSA distribuee par T autorite de confiance, une 
entite appelee « cohtr61eur » verifie sans en prendre connaissance que la 
signature RSA correspond a 1' identite proclamee. Les mecanismes utilisant 
le procede GQ se deroulent « sans transfer! de connaissance ». Selon le 
procede GQ, le temoin ne connait pas la cle privee RSA avec laquelle 
r autorite de confiance signe un grand nombre d*identites. La securite du 
procede GQ est au niieux equivalente k la connaissance de la signatiu^e 
RSA de r identite. II y a equivalence lorsque Texposant public de 
verification RSA est un nombre premier. 

Le procede GQ met en ceuvre des calculs modulo des nombres de 512 bits 
ou davantage. Ces calculs concement des nombres ayant sensiblement la 
meme taille eleves a des puissances de Tordre de 2** + 1. Or les 
infrastructures microelectroniques existantes, notamment dans le domaine 
des cartes bancaires, font usage de microprocesseurs auto-programmables 



monolithiques depburvus de coprocesseurs arithmetiques. La charge de 
travail liee aux multiples operations arithmetiques impliquees par des 
precedes tels que le procede GQ, entraine des temps de calcul qui dans 
certains cas s'averent penalisant pour les consommateurs utilisant des cartes 
bancaires pour acquitter leurs achats. II est rappele ici, qu'en cherchant h, 
accroitre la securite des cartes de paiement, les autorites bancaires posent 
un probleme particulierement delicat a resoudre. En effet, il faut traiter 
deux questions apparemment contradictoires : augmenter la securite en 
utilisant des cles de plus en plus longues et distinctes pour chaque carte tout 
en evitant que la charge de travail n' entraine des temps de calcul prohibitifs 
pour les utilisateurs. Ce probleme prend un relief particulier dans la mesure 
ou, en outre, il convient de tenir compte de 1' infrastructure en place et des 
composants microprocesseurs existants. 

L'invention a pour objet d'apporter une solution a ce probleme tout en 
renforgant la securite. Plus particulierement, T invention conceme un 
procede pour diminuer la charge de travail pendant une session destinee a 
prouver a un controleur, 

- r authenticity d'une entite et/ou 

- Torigine et Tintegrite d'un message m. 

Procede 

Le procede selon T invention, met en ceuvre les trois entites ci-apres 
definies. 

I. Une premiere entite, appelee temoin, dispose des facteurs premiers p„ p^, 
... (p. , ..•) (i etant superieur ou egal a 2) d'un module public n tel que n = 
Pj.p^. P3 Le temoin dispose aussi 

* des composantes QA,, QA„ ... (QA., ...), et QB^, QB^, ... (QB., ...), 
.., representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ay ant respectivement pour 
composantes GA,, GA^, ... (GA., ...) et GB,, GB^, ... (GB., ...) 



* des exposants publics de verification vx, vy, ... 
Les cles privees et les cles publiques sont li^es par des relations du type : 

GA.QA" mod n s 1 ou GA = QA"mod n 
Les exposants publics de verification vx, vy, ... sont utilises par le temoin 
pour calculer des engagements R en effectuant des operations du type : 

Rsr"modp, 
ou r. est un alea tel que 0 < r, < p. . 

Ainsi, selon le nouveau procede. les rdles de temoin et d'autoritg de 
confiance fusionnent. Chaque temoin utilise la factorisation p„ p^, ... (p. , 
...) de son propre module public n. De sorte que le nombre d'operations 
arithmetiques modulo p, a effectuer pour calculer chacun des R, pour 
chacun des p. est reduit par rapport k ce qu'il serait si les operations 6taient 
effectuees modulo n. L'usage de la factorisation du module n r6duit 
significativement la charge de travail du t6moin. Par rapport au procede 
GQ, et a fortiori par rapport k d'autres procedes tel que le procede RSA de 
signature, le procede selon I'invention permet de substantielles economies 
de calcul, en particulier pour I'authentification. 

II. Le procede selon I'invention met en oeuvre une deuxieme entite pilote 
dudit temoin. Cette entity pilote est appel6e 

* demonstrateur dans le cas de la preuve de I'authenticite d'une entit6 
ou de I'authenticite d'un message, 

* signataire dans les cas de la preuve de I'origine et de I'integrite d'un 
message. 

On verra ci-apres quel est son role. 

IIL La troisieme entity, appelee contr61eur, verifie I'authentification ou 
I'origine et I'integrite d'un message. 

Selon I'invention, le temoin refoit de la deuxieme entit6 pilote ou du 
contrdleur un ou plusieurs defis d tel que 0 < d < vx - 1 et calcule a partir de 
ce defi une ou plusieuEs reponses D en effectuant des operations du type : 



D, = r. . QA. ^ mod p. 
ou r, est un al6a tel que 0 < r < 

On constatera ici, de meme que precedemment, que le nombre d' operations 
arithmetiques modulo p. a effectuer pour calculer chacune des reponses D, 
pour chacun des p. est reduit par rapport a ce qu'il serai t si les operations 
etaient effectuees modulo n. 

Le controleur re9oit, selon le cas, une ou plusieurs reponses D. II calcule, a 
partir desdites reponses D, les engagements R' en effectuant des operations 
du type : 

R^=GA^D'* modn 

ou du type : 

RVGA'=D^'modn 
Le controleur peut alors verifier que les triplets {R% d, D} sont coherents. 
Dans le cas general qui vient d'etre expose, il y a plusieurs exposants de 
verifications vx, vy, .... On va maintenant exposer 1' invention dans le cas 
oij Texposant de verification v est unique. 

Cas ou Texposant de verification v est unique 
De meme que precedemment, le procede selon T invention met en oeuvre 
trois entites : 

L Une premiere entite, appelee temoin, dispose des facteurs premiers p,, p^, 
(p. , ...) (i etant superieur ou egal a 2) d'un module public n tel que n = 

P, P2- Pa 

Le temoin dispose aussi 

* des composantes QA„ QA^, (QA, ...), et QB^, QB„ ... (QB., ...), 
representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GAj, GA^, ... (GA,, •..) et GB„ GB^, ... (GB., ...) 

* de Texposant public de verification v 

Dans ce cas comme dans le precedent, il est prevu plusieurs paires de cles 



referenc6es A, B, ... 

Les paires de cl6s privees et publiques sont li^es par des relations du type : 

GA.QA* mod n = 1 ou GA = QA'mod n 
L'exposant public unique de verification v est utilis6 par le t6moin pour 
calculer des engagements R. A cet effet : 

• il effectue des operations du type : 

R = r." mod p. 

oil r est un entier, tir6 au hasard, associe au nombre premier p., tel que 0 < 
''i < Pi . appartenant k au moins une collection d'aleas {r„ Fj, r,, ...}, 

• puis il applique la m6thode dite des restes chinois, (on d^crira ci-apres la 
methode des restes chinois qui est connue en soi). 

II y a autant d' engagements R que de collections d'aleas {r„ r„ r^, ...}, 
Bien entendu, dans ce cas comme dans le cas gen6ral precedent, le nombre 
d'operations arithmetiques modulo p, k effectuer pour calculer chacun des 
R, pour chacun des p, est reduit par rapport k ce qu'il serait si les 
operations etaient effectuees modulo n. 

II. La deuxieme entite pilote dudit temoin esfcappelee : 

* demonstrateur dans le cas de la preuve de I'authenticite d'une entite 
ou de Tauthenticite d'un message, 

* signataire dans les cas de la preuve de I'origine et de Tintegrite d'un 
message, 

III. La troisieme entite, appel^e contrdleur, verifie I'authentification ou 
Torigineet I'integrite d'un message. 

Plus particuliferement, dans le cas de cette variante de realisation le t6moin 
refoit de la deuxifeme entity ou du contr61eur, des collections de defis d 
{dA, dB, ...} tels que 0 < dA < v - 1. Le nombre des collections de defis d 
est egal au nombre d'engagements R. Chaque collection {dA, dB, ...} 
comprend un nombre de defis egal au nombre de paires de cles. 
Le temoin calcule k partir de chacune desdites collections de defis {dA, dB, 



•..} des reponses D. A cet effet : 

• il effectue des operations du type : 

D. = r.. QA. . QB. o ... mod p. 

• puis il applique la methode des restes chinois. 

II y a autant de reponses D que d' engagements R et de defis d. 
II convient de souligner, ici aussi, que le nombre d' operations arithmetiques 
modulo p, a effectuer pour calculer chacun des pour chacun des p, est 
reduit par rapport a ce qu'il serait si les operations etaient effectuees 
modulo n. 

Le controleur revolt une reponse D. II calcule a partir de cette reponse un 
engagement R' en effectuant des operations du type : 

R' = GA'^.GB*^....D' modn 

ou du type : 

R' . GA ^ . GB mod n 

Le controleur verifie que les triplets {R% d, D} sont coherents. 
Ainsi, grace a la presente invention, le temoin qui proclame : « Void une 
cle publique de verification fv, n) et une cle publique GA ; je connais la 
factorisation de n et la cle privee QA » prouve sans la reveler qu'il connait 
la cle privee QA. Le controleur verifie la cle privee QA sans en prendre 
connaissance. Les mecanismes se deroulent « sans transfert de 
connaissance ». On le verra ci-apres, que le precede selon T invention 
autorise certaines paires de cles telles que la connaissance de la cle privee 
QA est equivalente a la connaissance de la factorisation du module n. 
On va maintenant exposer les variantes de realisation de T invention 
concemant : 

- le cas d'une authentification d'entite, 

- le cas d'une authentification de message, 

- le cas d'une signature numerique de message. 

Cas d'une authentification d'entite 



Cas oil I'exposant de verification v est unique. 

Dans le cas de cette variante de realisation particuli^re, la session est 
destin6e k prouver a un controleur I'authenticite d'une entity. 
Comme dans le cas g6n6ral, la session met en oeuvre trois entites. 
I. Une premiere entitd, appel6e temoin, dispose des facteurs premiers p„ p^, 
(P, , •••) (i 6tant superieur ou egal h 2) d'un module public n tel que n = 

Pi-P2' Pa- — . 

Le temoin dispose aussi : 

* des composantes QA., QA„ ... (QA , ...). et QB., QB„ ... (QB. , ...). 
.... repr6sentant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA„ GA„ ... (GA, ...) et GB„ GB„ ... (GB„ ...) 

* de I'exposant public de verification v 

Les paires de cles priv6es et publiques sont liees par des relations du type : 

GA.QA' mod n = 1 ou GA s QA'mod n 
IL La deuxieme entite, pilote dudit temoin, est appelee demonstrateur. 
III. La troisieme entitd, appelee conti-dleur, verifie rauthentification. 
Pour prouver I'authenticite d'une entite, le temoin, le demonstrateur et le 
controleur ex6cutent les etapes suivantes : 

• etape 1. engagement R du temoin : 
A chaque appel, le temoin tire au hasard et en prive au moins une collection 
de nombres entiers {r., r„ r,, ...},telle que, pour chaque facteur premier p., 
chaque collection comporte un al6a r, positif et plus petit que p, , 
Pour chaque facteur premier p, , le temoin eleve chaque al6a r, a la 
puissance v ieme modulo p^ 

R, = fj" mod p, 

On notera que le nombre d'operations arithmetiques modulo p, k effectiier 
pour calculer chacun des R, pour chacun des p, est reduit par rapport k ce 
qu'il serait si les operations etaient effectiiees modulo n. 
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Puis, le t6moin 6tablit chaque engagement R modulo n scion la methode 
des restes chinois. 

II y a autant d' engagements R que de collections d'al6as {r^, r^, Fj, ...}, 

• etape 2. defi d destine au temoin : 

Le d6monstrateur transmet tout ou partie de chaque engagement R au 
contrSleur. 

Le controleur, apres avoir re9U tout ou partie de chaque engagement R, 
produit au moins une collection de d6fis d {dA, dB, ...} tels que 0 < dA < v 
- 1. Le nombre des collections de defis d est egal au nombre d'engagements 
R. Chaque collection {dA, dB, ..•} comprend un nombre de defis egal au 
nombre de paires de cles. 

• etape 3. reponse du temoin au defi d : 

Le t6moin calcule des reponses D k partir des collections de defis d {dA, 
dB, ...} revues du controleur. A cet effet : 
il effectue des operations du type : 

D. s r . QA, ^ . QB. ^ . ... mod p. 
puis, il applique la methode des restes chinois. 

Le nombre d' operations arithm^tiques modulo p, a effectuer pour calculer 
chacun des D, pour chacun des Pj est reduit par rapport a ce qu*il serait si 
les operations etaient effectu6es modulo n. 

II y a autant de reponses D calculees par le temoin que d' engagements R et 
de defis d. 

• etape 4. donnees destinees au controleur : 

Le demonstrateur transmet au controleur chaque reponse P. 

• etape 5. verification par le controleur : 

Le contrdleur calcule a partir de chaque reponse D un engagement R' en 
effectuant des operations du type : 

R'=GA'^,GB*^....D^ modn 
ou du type : _ 



R' . GA . GB D" mod n 

Le contrSleur verifie que chaque engagement reconstruit R» reproduit tout 
ou partie de chaque engagement R transmis k l'6tape 2 par le 
d6monstrateur. 

Cas d'une authentification de message 
cas 06 I'exposant de verification v est unique. 

Dans le cas de cette variante de r6alisation particuli&re, la session est 
destinee h prouver a un contrdleur I'authenticite d'un message m. 
Comme dans le cas g6n6ral, la session met en oeuvre trois entit^s. 

I. Une premiere entity, appelee tdmoin, dispose des facteurs premiers p„ p^, 
... (p, , ...) (i etant superieur ou egal k 2) d'un module public n tel que n = 
Pi-P,- Pj 

Le t6moin dispose aussi : 

* des composantes QA„ QA„ ... (QA„ ...). et QB„ QB,, ... (QB ), 

representant des cl6s privees QA, QB, 

* des cl6s publiques GA, GB, ... ayant respectivement pour 
composantes GA„ GA„ (GA, , ...) et GB„ GB,, ... (GB,, ...) 

* de I'exposant public de verification v 

Les paires de cles privees et publiques sont liees par des relations du type : 
GA.QA" mod n s 1 ou GA s QA'mod n 

II. Une deuxieme entite, pilote du t^moin, est appelee demonstrateur. 

III. Une troisi^me entity, appelee contrdleur, verifie I'authenticite d'un 
message. 

Pour prouver I'authenticite d'un message le tdmoin, le demonstrateur et le 
contr61eur executent les Stapes suivantes : 

• ^tape 1. engagement R du temoin : 
A chaque appel, le temoin tire au hasard et en prive au moins une collection 
de nombres entiers {r„ r„ r,, ...}, telle que pour chaque facteur premier p., 
chaque collection comporte un alea rpositif et plus petit que p, . 
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Pour chaque facteur premier p. , le t6inoin eleve chaque al6a r, a la 
puissance v i^me modulo p. 

R = mod p. 

(de sorte que le nombre d'operations arithmetiques modulo a effectuer 
pour calculer chacun des pour chacun des p^ est reduit par rapport a ce 
qu *il serait si les operations etaient effectuees modulo n) 
Puis, le temoin 6tablit chaque engagement R modulo n selon la methode 
des restes chinois. 

II y a autant d'engagements R que de collections d'aleas {r,, r^, ..,}, 

• etape 2. defi d destine au temoin : 

Le demonstrateur applique une fonction de hachage f ayant comme 
arguments le message m et chaque engagement R pour obtenir un jeton T. 
Le demonstrateur transmet le jeton T au contrdleur, 

Le controleur, apr^s avoir re^u le jeton T, produit au moins une collection 
de defis d {dA, dB, .•.} tels que 0 < dA < v - 1. Le nombre des collections 
de defis d est egal au nombre d' engagements R. Chaque collection {dA, 
dB, ...} comprend un nombre de defis egal au nombre de paires de cles. 

• etape 3. reponse du temoin au defi d : 

Le temoin calcule les reponses D a partir des collections de defis d {dA, 
dB, ...} refues du contrdleur. A cet effet, 
il effectue des operations du type : 

D. = r . QAj ^ . QB."^ . ... mod p. 
puis, il applique la methode des restes chinois. 

Le nombre d' operations arithmetiques modulo p, k effectuer pour calculer 
chacun des D, pour chacun des Pj est reduit par rapport a ce qu'il serait si 
les operations etaient effectuees modulo n. 

II y a autant de reponses D calculees par le temoin que d' engagements R et 
de d6fis d, 

• etape 4. domiees destinees au contrdleur : 
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Le demonstrateur transmet au contrdleur chaque reponse D. 

• etape 5. verification par le contrdleur : 
Le controleur calcule k partir de chaque r6ponse D un engagement R' en 
effectuant des operations du type : 

R'sGA-^.GB modn 

ou du type : 

R'.GA'".GB-»...=D modn 

Le contrdleur applique la fonction de hachage f ayant comme arguments le 
message m et chaque engagement reconstruit R' pour reconstruire le ieton 

Le controleur v6rifie que le jeton T' est identique au jeton T transmis k 
r6tape 2 par le demonstrateur. 

Cas d'une signature numerique de message 
Cas ou Texposant de verification v est unique. 
Dans le cas de cette variante de realisation particuli^re. la session est 
destinee k prouver k un controleur la signanire numerique d'un message m. 
Comme dans le cas general, la session met en ceuvre trois entites. 
L Une premiere entite appelde t6moin dispose des facteurs premiers p„ p^, 
(P. , ...) (i etant superieur ou 6gal a 2) d'un module public n tel que 'n = 

Pi-Pj* P3 

Le temoin dispose aussi 

* des composantes QA.. QA,, ... (QA, , ...), et QB., QB„ ... (QB. , ...), 
.... representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA., GA„ ... (GA„ ...) et GB., GB„ ... (GB., ...) 

* de I'exposant public de verification v. 

Les paires de cl6s privees et publiques sont liees par des relations du type : 

GA.QA' mod n s 1 ou GA s QA'mod n 
IL Une deuxieme entite. pilote dudit t6moin. est appelee signataire. 
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III. Une troisieme entite, appelee controleur, verifie la signature du message 
m. 

Pour prouver la signature d'un message le temoin, le demonstrateur et le 
controleur executent les etapes suivantes : 

• etape 1. engagement R du temoin : 

A chaque appel, le temoin tire au hasard et en prive au moins une collection 
de nombres entiers {r,, r^, .•Jjtelle que, pour chaque facteur premier p^, 
chaque collection comporte un alea positif et plus petit que p. . 
Pour chaque facteur premier p. , le temoin eleve chaque alea r. a la 
puissance v ieme modulo p. 

R. = r/ mod p. 

(de sorte que le nombre d' operations arithmetiques modulo a effectuer 
pour calculer chacun des Rj pour chacun des p^ est reduit par rapport a ce 
qu'il serait si les operations etaient ejfectuees modulo n) 
Puis, le temoin etablit chaque engagement R modulo n selon la methode 
des restes chinois. 

II y a autant d'engagements R que de collections d'aleas {r,, r^, Tj, .•.}. 

• etape 2. defi d destine au temoin : 

Le signataire applique une fonction de hachage f ayant comme arguments le 
message m et chaque engagement R pour obtenir au moins une collection 
de defis d {dA, dB, ...} tels que 0 < dA < v - 1. Le nombre des collections 
de defis d est egal au nombre d' engagements R, chaque collection {dA, dB, 
..•} comprend un nombre de defis egal au nombre de paires de cles. 
Le signataire transmet les collections de defis d au temoin. 

• etape 3. reponse du temoin au defi d : 

Le temoin calcule des reponses D a partir desdites . collections de defis d 
{dA, dB, •..} refues du contrdleur. A cet effet, 
il effectue des operations du type : 

D. = r . QA. . QB. ^ . ... mod p, 
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(de sorte que le nombre operations arithmetiques modulo a effectuer 
pour calculer chacun des pour chacun des est reduit par rapport a ce 
quHl serait si les operations etaient ejfectuees modulo n ) 
puis, il applique la methode des restes chinois. 

II y a autant de reponses D calculees par le temoin que d' engagements R et 
de defis d, 

Le t6moin transmet les reponses D au signataire et/ou au controleur. 

• etape 4. donnees destinees au controleur : 

Le signataire transmet un message signe au contrdleur comprenant : 

- le message m, 

- les collections de defis d ou les engagements R, 
- chaque reponse D 

• etape 5. verification par le controleur : 

Cas ou le controleur revolt la collection des defis d, 

Dans le cas ou le controleur regoit la collection des defis d et des reponses 
D, ledit controleur calcule a partir de chaque reponse D un engagement R' 
en effectuant des operations du type : 

R'=GA'*^.GB'"....D^ modn 

ou du type : 

R'. GA ^. GB mod n 

Le controleur applique la fonction de hachage f ayant comme arguments le 
message m et chaque engagement reconstruit R^ pour reconstruire chaque 
defi d'. 

Le controleur verifie que chaque defi d' reconstruit est identique au defi d 
figurant dans le message signe. 

Cas ou le controleur revolt la collection des engagements R 

Dans le cas ou le controleur refoit la collection des engagements R et des 
reponses D, ledit contr61eur applique la fonction de hachage f ayant comme 
arguments le message m et chaque engagement R pour reconstruire chaque 
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defid'. 

Le controleur reconstruit alors la collection des engagements R' en 
effectuant des operation du type 

R' = GA "'^ • GB . ... D'^ mod n 

ou du type : 

R' . GA ^ ^ . GB ' ^. mod n 

Le controleur verifie que chaque engagement R' reconstruit est identique k 
r engagement R figurant dans le message signe. 

Paire de cles selon la presente invention conferant une securite 
equivalente a la connaissance de la cle privee Q 

La paire de cles GA, QA, ... n'a plus de raison d'etre systematiquement 
deduite de Tidentite du temoin, comma dans le cas du procede GQ. 
Selon une variante de realisation, un grand nombre de temoins utilisent le 
meme ensemble de cles publiques tres courtes GA, GB, GC, GD ... par 
exemple, 4, 9, 25 et 49. 

Dans le cas de la variante de realisation ci-apres exposee les composantes 
QA„ QA„ ... (QA., ...), et QB„ QB^, ... (QB., ...), ... des cles privees QA, 
QB, ... sont des nombres tires au hasard a raison d'une composante QA. , 
QB., ... pour chacun desdits facteurs premiers p.. Lesdites cles privees QA, 
QB, peuvent etre calculees a partir desdites composantes QAj, QA^, ... 
(QA., ...), et QBj, QBj, ... (QB. , ...), ... par la methode des restes chinois. 
Les cles publiques GA, GB, ... sont calculees en effectuant des operations 
du type : 

GA. = QA/modp. 
puis en appliquant la methode des restes chinois pour etablir GA tel que 

GA = QA'modn 

ou bien tel que 

GA.QA' mod n = 1 

Ainsi, le nombre d'operations arithmetiques modulo p, a effectuer pour 
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calculer chacun des GA. pour chacun des Pj est reduit par rapport a ce qu'il 
serait si les operations etaient effectuees modulo n. 

De preference Texposant public de verification v est un nombre premier. 
Dans ce cas la paire de cles GA, QA confere une securite 6quivalente a la 
connaissance de la cle privee QA. 

Paire de cles selon la presente invention conferant une securite 
equivalente a la connaissance de la factorisation de n 
De preference, rexposant public de verification v est du type 

v = a'' 

ou k est un parametre de securite plus grand que 1 . 
De preference, egalement I'exposant public de verification v est du type 

v = 2'^ 

ou k est un parametre de securite plus grand que 1 . 

Dans ce cas, la cle publique GA est un carre gA^ inferieur a n choisi de 
sorte que les deux equations 

= gA mod n et s - gA mod n 
n'ont pas de solution en x dans I'anneau des en tiers modulo n. 
Les composantes QA„ QA^, (QA, , ...) de la cle privee QA sont alors 
telles que : 

GA= QA '""^^'Vmod 

ou bien telles que : 

GA.QA'"'''modp^=l 

On les obtient en extrayant la k ieme racine carree de GA dans le corps de 
Galois CG(p.), 

Ainsi, le nombre d' operations arithmetiques modulo p, a effectuer pour 
calculer chacun des QA. pour chacun des p, est reduit par rapport a ce qu'il 
serait si les operations etaient effectuees modulo n. 

On demontre que la paire de cles GA, QA confere une securite equivalente 
a la connaissance de la factorisation de n. 
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De preference, pour extraire la k ieme racine carree de GA dans le corps de 
Galois CG(p.), on utilise les methodes suivantes : 

- dans le cas ou le facteur premier p. est congru k 3 modulo 4, on 
applique notamment un algorithme du type : 

X = (p+l)/4 ; y = x' mod (p-1) ; z = y ; QA. = GA* mod p. 

- dans le cas ou le facteur premier Pj est congru a 1 modulo 4, on 
emploie les suites de Lucas. 

Systeme 

La presente invention conceme egalement un systeme permettant de mettre 
en oeuvre le procede ci-dessus expose. 

Le systeme selon 1' invention permet de diminuer la charge de travail 
pendant une session destinee a prouver a un serveur controleur, 

- Tauthenticite d'une entite et/ou 

- Torigine et I'integrite d'un message m. 
Le systeme met en oeuvre trois entites : 

I. Une premiere entite, appel^e dispositif temoin, contenue notamment 
dans un objet nomade se presente par exemple sous la forme d'une carte 
bancaire a microprocesseur. 

Le dispositif temoin dispose d'une premiere zone memoire contenant des 
facteurs premiers p,, p^, ... (p. , ...) (i etant superieur ou egal a 2) d'un 
module public n tel que n = Pj-P^. P3 

Le dispositif temoin dispose aussi d'une deuxieme zone memoire contenant 

* des composantes QA„ QA^, (QA., ...), et QB„ QB^, ... (QB,, 
representant des cles privies QA, QB, ... 

* des cles publiques GA, GB, ... ay ant respectivement pour 
composantes GA,, GA^, ... (GA., .•.) et GB,, GB^, ... (GB., ...) 

* des exposants publics de verification vx, vy, ... 

lesdites cles privees et cles publiques etant liees par des relations du type : 
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GA.QA" mod n = 1 ou GA = QA'mod n 

Le dispositif temoin comporte aussi des premiers moyens de calcul pour 
calculer des engagements R en effectuant des operations du type : 

R. = r^" mod p. 
ou r. est un alea tel que 0 < r. < p. , 

II. Le systeme met en oeuvre une deuxieme entite, appelee dispositif pilote 
dudit dispositif temoin. Elle peut etre contenue notamment dans ledit objet 
nomade. Le dispositif pilote est plus precisement appele : 

* dispositif demonstrateur dans le cas de la preuve de Tauthenticite 
d'une entite ou de Tauthenticite d'un message, 

* dispositif de signature dans les cas de la preuve de I'origine et de 
rintegrite d'un message, 

IIL Le systeme met en oeuvre une troisieme entite, appelee dispositif 
controleur, se presentant notamment sous la forme d'un terminal et/ou d'un 
serveur distant connecte a un reseau de communication informatique. Le 
dispositif controleur comporte des moyens de connexion pour le connecter 
electriquement, electromagnetiquement, optiquement ou de maniere 
acoustique au dispositif temoin. Le dispositif contr61eur verifie 
Tauthentification ou Torigine et I'integrite d'un message. 
Le dispositif temoin re9oit du dispositif pilote ou du dispositif controleur un 
ou plusieurs defis d tel que 0 < d < vx - 1. II comporte des deuxiemes 
moyens de calcul pour calculer a partir des defis d une ou plusieurs 
reponses D en effectuant des operations du type : 

D. = r. . QA. mod p. 
ou r. est un alea tel que 0 < r. < p, 

(de sorte que le nombre d* operations arithmetiques modulo p. a ejfectuer 
par lesdits deuxiemes moyens de calcul pour calculer chacune des reponses 
D. pour chacun des p. est reduit par rapport a ce qu'il serait si les 
operations etaient ejfectuees modulo n) 
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Le dispositif controleur, re9oit une ou plusieurs reponses D. II comporte des 
troisiemes moyens de calcul pour calculer a partir desdites reponses D des 
engagements R'en effectuant des operations du type : 

R'^=GA'.D" modn 

ou du type : 

R^.GA'^D^* modn 
Le dispositif contrSleur comporte des quatriemes moyens de calcul pour 
verifier que les triplets {R% d, D} sont coherents. 

Cas ou I'exposant de verification v est unique 
De meme que precedemment, le systeme selon T invention met en oeuvre 
trois entit^s. 

I. Une premiere entite, appelee dispositif temoin, contenue notamment dans 
un objet nomade se presentant par exemple sous la forme d'une carte 
bancaire a microprocesseur. 

Le dispositif temoin dispose d'une premiere zone m6moire con tenant des 
facteurs premiers p,, p^, ... (p. , •..) (i etant superieur ou egal a 2) d'un 
module public n tel que n = Pj.Pj- Py ...» 

Le dispositif temoin dispose aussi d'une deuxieme zone memoire contenant 

* des composantes QA„ QA^, ... (QA., ...), et QB,, QB^, (QB., ...), 
representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ay ant respectivement pour 
composantes GA^, GA^, ... (GA., ...) et GB^, GB^, ... (GB,, ...), 

* un exposant public de verification v. 

Les paires de cles privees et publiques sont liees par des relations du type : 

GA.QA' mod n = 1 ou GA = QA'mod n 
Le dispositif temoin comporte aussi des premiers moyens de calcul pour 
calculer des engagements R. A cet effet, 
• il effectue des operations du type : 
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R = r; mod 

oil Fj est un entier, tire au hasard, associe au nombre premier p., tel que 0 < 

^1 < Pi . appartenant a au moins une collection d'aleas {r„ r^, r^, ...}, 

• puis, il applique la methode des restes chinois, 

II y a autant d'engagements R que de collections d'aleas {r^, r^, r,, 

Le nombre d' operations arithmetiques modulo p, a effectuer par lesdits 

premiers moyens de calcul pour calculer chacun des R, pour chacun des p, 

est reduit par rapport a ce qu'il serait si les operations etaient effectuees 

modulo n. 

II. La deuxieme entite, appelee dispositif pilote dudit dispositif temoin, 
peut etre contenue notamment dans ledit objet nomade. Le dispositif pilote 
est appele : 

* dispositif demonstrateur dans le cas de la preuve de Tauthenticite 
d'une entite ou de Tauthenticite d'un message, 

* dispositif de signature dans les cas de la preuve de Torigine et de 
rintegrite d'un message, 

III. La troisieme entite, appelee dispositif controleur, se presente 
notamment sous la forme d'un temiinal et/ou d'uh serveur distant connecte 
a un reseau de communication informatique. Le dispositif controleur 
comporte des moyens de connexion pour le connecter electriquement, 
electromagnetiquement, optiquement ou de maniere acoustique audit 
dispositif temoin. Le dispositif controleur verifie rauthentification ou 
I'origine et Tintegrite d'un message. 

Plus particulierement, dans le cas de cette variante de realisation, le 
dispositif temoin regoit du dispositif pilote ou du dispositif controleur, des 
collections de defis d {dA, dB, ...} tels que 0 < dA < v - 1. Le nombre des 
collections de defis d est egal au nombre d'engagements R. Chaque 
collection {dA, dB, ...} comprend un nombre de defis egal au nombre de 
paires de cles. 
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Le dispositif temoin comporte des deuxiemes moyens de calcul pour 
calculer h partir de chacune desdites collections de defis {dA, dB, ...} des 
r6ponses D. A cet effet, 

• il effectue des operations du type : 

= r. QA, o QB, o mod p. 

• puis, il applique la methode des restes chinois. 

II y a autant de reponses D que d'engagements R et de defis d. 
II convient de souligner, ici aussi, que le nombre d' operations arithm6tiques 
modulo p. k effectuer par lesdits deuxiemes moyens de calcul pour calculer 
chacun des Dj pour chacun des p. est r^duit par rapport a ce qu'il serait si 
les operations etaient effectuees modulo n. 

Le dispositif contrSleur re9oit une ou plusieurs reponses D. II comporte des 
troisiemes moyens de calcul pour calculer a partir desdites reponses D un 
engagement en effectuant des operations du type : 

R^=GA'\GB'"..,,D^ modn 

ou du type : 

R' . GA GB '\ ...= mod n 

Le dispositif controleur comporte des quatrifemes moyens de calcul pour 
verifier que les triplets {R', d, D} sont coherents. 

On va maintenant exposer les variantes de realisation du systeme selon 
r invention concemant : 

- le cas d'une authentification d'entite, 

- le cas d'une authentification de message, 

- le cas d'une signature numerique de message. 

Cas d'une authentification d'entite 
Cas ou I'exposant de verification v est unique. 
Dans le cas de cette variante de realisation particuliere, la session est 
destinee k prouver k un controleur I'authenticite d'une entite. 
Comme dans le cas general, le session met en oeuvre trois entites du 
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systeme selon I'invention. 

I. Une premiere entite, appelee dispositif temoin, contenue notamment dans 
un objet nomade se presentant par example sous la forme d*une carte 
bancaire k microprocesseur. 

Le dispositif temoin dispose d'une premiere zone memoire contenant des 
facteurs premiers p„ p„ ... (p, , ...) (i etant superieur ou egal a 2) d*un 

module public n tel que n = p^.p^. Le dispositif temoin dispose aussi 

d'une deuxifeme zone memoire contenant : 

* des composantes QA„ QA„ ... (QA. , ...), et QB,, QB„ ... (QB. , ...), 
representant des cles privees QA, QB, 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA„ GA„ ... (GA., ...) et GB„ GB„ ... (GB., ...) 

* un exposant public de verification v. 

Les paires de cles privees et publiques sont liees par des relations du type : 
GA.QA" mod n = 1 ou GA = QA'^mod n 

II. La deuxieme entite, appelee dispositif demonstrateur dudit dispositif 
temoin, peut etre contenue notamment dans ledit objet nomade. 

III. Une troisieme entite, appelee dispositif controleur, se presente sous la 
forme d'un temiinal et/ou d'un serveur distant connecte a un reseau de 
communication informatique. Le dispositif controleur comporte des moyens 
de connexion pour le connecter electriquement, electromagnetiquement, 
optiquement ou de maniere acoustique audit dispositif temoin. 

Pour prouver I'authenticite d'une entite, ledit dispositif temoin, ledit 
dispositif demonstrateur et ledit dispositif contr61eur ex^cutent les etapes 
suivantes : 

• etape 1. engagement R du dispositif temoin : 

Le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et en prive, a chaque appel, au moins une collection de nombres 
entiers {r„ r^, ...}, telle que, pour chaque facteur premier p., chaque 
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collection comporte un alea r^positif et plus petit que p, . 
Le dispositif t6moin comporte des deuxiemes moyens de calcul pour Clever 
chaque alea a la puissance v ieme modulo Pj , pour chaque facteur 
premier Pj , 

R, = r; mod p. 

On notera que le nombre d' operations arithm6tiques modulo p, a effectuer 
par les deuxiemes moyens de, calcul pour calculer chacun des pour 
chacun des p, est reduit par rapport a ce qu'il serait si les operations 6taient 
effectu6es modulo n. 

Puis, lesdits deuxiemes moyens de calcul du dispositif t6moin etablissent 
chaque engagement R modulo n selon la methode des restes chinois. 
II y a autant d*engagements R que de collections d*aleas {r,, r^, .•.}, 

• etape 2. defi d destine au dispositif temoin : 

Le dispositif d^monstrateur comporte des moyens de transmission pour 
transmettre tout ou partie de chaque engagement R au dispositif controleur. 
Le dispositif controleur comporte des troisiemes moyens de calcul pour 
calculer, aprfes avoir re9U tout ou partie de chaque engagement R, au moins 
une collection de defis d {dA, dB, ..,} tels que 0 < dA < v - 1. Le nombre 
des collections de defis d est egal au nombre d' engagements R. Chaque 
collection {dA, dB, o..} comprend un nombre de defis egal au nombre de 
paires de cles. 

• etape 3. reponse du dispositif temoin au defi d : 

Le dispositif t6moin comporte des quatriemes moyens de calcul pour 
calculer des reponses D, a partir desdites collections de defis d {dA, dB, .•.} 
refues du dispositif controleur. A cet effet, 
il effectue des operations du type : 

D. = r, . QA, • QB, *® . ... mod p, 
puis, il applique la methode des restes chinois. 

Le nombre d' operations arithmetiques modulo p^ a effectuer par les 
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quatrifemes moyens de calcul pour calculer chacun des D, pour chacun des 
p, est r^duit par rapport a ce qu'il serait si les operations etaient effectu6es 
modulo n. 

II y a autant de r6ponses D calculees par le t6moin que d'engagements R et 
de defis d. 

• etape 4. doimees destinees au dispositif contrdleur ; 

Le demonstrateur comporte des moyens de transmission pour transmettre 
au dispositif contrdleur chaque r6ponse D. 

• etape 5. vilification par le dispositif contrdleur : 

Le dispositif contrdleur comporte des cinquifemes moyens de calcul pour 
calculer k partir de chaque reponse D un engagement R' en effectuant des 
operations du type : 

R'=GA''\GB'"....D* modn 

ou du type : 

R' • GA ^ . GB **" . ...= D" mod n 

Le dispositif contrdleur comporte des sixiemes moyens de calcul pour 
comparer et v6rifier que chaque engagement reconstruit R' reproduit tout 
ou partie de chaque engagement R transmis k l'6tape 2 par le dispositif 
d^monstratem". 

Cas d'une authentification de message 
Cas ou I'exposant de verification v est unique. 

Dans le cas de cette variante de realisation particuli&re, la session est 
destin6e k prouver k un contrdleur I'authenticite d'un message m. 
Conune dans le cas general, la session met en ceuvre trois entit^s du 
systeme. 

I. Une premiere entite, appelee dispositif temoin, contenue notamment dans 
un objet nomade se pr6sente par exemple sous la forme d'une carte 
bancaire a microprocesseur. 

Le dispositif temoin dispose d'une premiere zone memoire contenant des 
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facteurs premiers p„ p^, ... (p, , ...) (i etant sup^rieur ou egal k 2) d'un 

module public n tel que n = p^.p^. P3 .Le dispositif temoin dispose aussi 

d'une deuxifeme zone m6moire contenant 

* des composantes QA„ QA^, ... (QA,, ...), et QB„ QB^, ... (QB, , ...), 
5 repr6sentant des cles privees QA, QB, ... 

* des cl6s publiques GA, GB, ... ayant respectivement pour 
composantes GA„ GA„ ... (GA., ...) et GB„ GB^, ... (GB,, ...) 

* un exposant public de verification v. 

Les paires de cl6s privees et publiques sont liees par des relations du type : 
10 GA.QA' mod n s 1 ou GA = QA'mod n 

II. Une deuxieme entity, appelee dispositif demonstrateur dudit dispositif 
temoin, peut etre contenue notamment dans ledit objet nomade. 

III. Une troisieme entite, appelee dispositif controleur, se presente sous la 
forme d'un terminal et/ou d*un serveur distant connecte a un reseau de 

15 communication informatique. Le dispositif contrdleur comporte des moyens 

de connexion pour le connecter electriquement, electromagnetiquement, 
optiquement ou de maniere acoustique audit dispositif temoin. 
Pour prouver Tauthenticite d'un message ledit dispositif temoin, ledit 
dispositif demonstrateur et ledit dispositif controleur executent les etapes 

20 suivantes : 

• etape 1. engagement R du dispositif temoin : 
Le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et en prive, a chaque appel, au moins une collection de nombres 
entiers {r,, r^, r^, ...}, telle que pour chaque facteur premier Pj, chaque 

25 collection comporte un alea r. positif et plus petit que p. . 

Le dispositif temoin comporte des deuxiemes moyens de" calcul pour elever 
chaque alea r a la puissance v ieme modulo p. , pour chaque facteur 
premier p. , 

R. = r." mod p. 

1 I r'l 
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Le nombre d'operations arithmetiques modulo p, a effectuer par les 
deuxiemes moyens de calcul pour calculer chacun des R, pour chacun des 
p, est reduit par rapport a ce qu'il serait si les operations etaient effectuees 
modulo n. 

Puis, lesdits deuxiemes moyens de calcul dudit dispositif temoin etablissent 
chaque engagement R modulo n selon la methode des restes chinois. 
II y a autant d'engagements R que de collections d'aleas {r„ r^, r^, ...}. 

• etape 2. defi d destine au dispositif temoin : 

Le dispositif demonstrateur comporte des premiers moyens de calcul pour 
calculer un jeton T, en appliquant une fonction de hachage f ayant comme 
arguments le message m et chaque engagement R. 

Le dispositif demonstrateur comporte des moyens de transmission pour 
transmettre le jeton T au dispositif contrdleur. 

Le dispositif controleur comporte des troisiemes moyens de calcul pour 
calculer, apres avoir refu le jeton T, au moins une collection de defis d 
{dA, dB, tels que 0 < dA < v - 1. Le nombre des collections de defis d 
est egal au nombre d'engagements R. Chaque collection {dA, dB, 
comprend un nombre de defis egal au nombre de paires de cles. 

• etape 3. reponse du dispositif temoin au defi d : 

Le dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D, a partir desdites collections de defis d {dA, dB, •..} 
refues du dispositif contrSleur. A cet effet, 
il effectue des operations du type : 

R = r . QA/^ . QB^"^ . ... mod p, 
puis, il appliquant la methode des restes chinois. 

Le nombre d'operations arithmetiques modulo Pj a effectuer par les 
quatriemes moyens de calcul pour calculer chacun des Dj pour chacun des 
p, est reduit par rapport a ce qu'il serait si les operations etaient effectuees 
modulo n. 
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II y a autant de reponses D calculees par le temoin que d' engagements R et 
de defis d. 

• etape 4. donnees destinees au dispositif contrdleur : 

Le demonstrateur comporte des moyens de transmission pour transmettre 
au dispositif controleur chaque reponse D. 

• etape 5. verification par le dispositif contrdleur : 

Le dispositif controleur comporte des cinquiemes moyens de calcul pour 
calculer a partir de chaque reponse D un engagement en effectuant des 
operations du type : 

R' = GA''^.GB'''. -..D^ modn 

ou du type : 

R' . GA GB • = mod n 

Le dispositif contrdleur comporte des sixiemes moyens de calcul pour 
calculer, en appliquant la fbnction de hachage f ayant comme arguments le 
message m et chaque engagement R', le jeton T\ 

Le dispositif controleur comporte des septiemes moyens de calcul pour 
comparer et verifier que le jeton T' est identique au jeton T transmis a 
r etape 2 par le dispositif demonstrateur. 

Cas d'une signature numerique de message 
Cas ou I'exposant de verification v est unique. 
Dans le cas de cette variante de realisation particuliere, la session est 
destinee a prouver a un controleur la signature numerique d'un message m. 
Comme dans le cas general, la session met en oeuvre trois entites du 
systeme : 

I, Une premiere entite, appelee dispositif temoin, contenues notamment 
dans un objet nomade se presente par exemple sous la forme d'une carte 
bancaire a microprocesseur. 

Le dispositif temoin comporte une premiere zone memoire contenant des 
facteurs premiers p^ p^, (p- , ...) (i etant superieur ou egal a 2) d'un 
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module public n tel que n = p,.Pj. 

Le dispositif temoin comporte 6galement une deuxieme zone memoire 
contenant : 

* des composantes QA„ QA,, ... (QA, , ...), et QB„ QB,, ... (QB^ , ...), 
.... representant des cl6s privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA„ GA„ ... (GA, , ...) et GB„ GB„ ... (GB, , ...) 

* un exposant publique de verification v. 

Les paires de cles privees et publiques sont liees par des relations du type : 
GA.QA* mod n s 1 ou GA = QA'mod n 

II. Une deuxieme entite, pouvant etre contenue notamment dans ledit objet 
nomade, est appelee dispositif de signature. 

III. Une troisieme entite, appelee dispositif controleur se presente sous la 
forme d'un terminal et/ou d'un serveur distant connect6 k un reseau de 
communication informatique. Le dispositif controleur comporte des moyens 
de connexion pour le connecter electriquement, electromagnetiquement, 
optiquement ou de maniere acoustique au dispositif temoin. 

Pour prouver la signature d'un message, ledit dispositif temoin, ledit 
dispositif demonstrateur et ledit dispositif controleur executent les etapes 
suivantes : 

• etape 1. engagement R du temoin : 
Le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et en prive, k chaque appel, au moins une collection de nombres 
entiers {r,, r^, r,, ...}, telle que pour chaque facteur premier p., chaque 
collection comporte un alea r.positif et plus petit que p, . 
Le dispositif temoin comporte des deuxiemes moyens de calcul pour elever 
chaque alea r. a la puissance v ieme modulo p, , pour chaque facteur 
premier p, , 

R = r; mod p, 
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Ainsi, le nombre d' operations arithmetiques modulo p^ k effectuer par les 
deuxiemes moyens de calcul pour calculer chacun des R, pour chacun des 
p, est reduit par rapport k ce qu'il serait si les operations 6taient effectu6es 
modulo n. 

Puis, lesdits deuxiemes moyens de calcul du dispositif t^moin etablissent 
chaque engagement R modulo n selon la methode des restes chinois. 
II y a autant d'engagements R que de collections d'aleas {r,, r^, Fj, ...}, 

• etape 2. defi d destine au dispositif temoin : 

Le dispositif de signature comporte des troisiemes moyens de calcul pour 
calculer, en appliquant une fonction de hachage f ayant comme arguments 
le message m et chaque engagement R, au moins une collection de defis d 
{dA, dB, tels que 0 < dA < v - 1. Le nombre des collections de defis d 
est egal au nombre d*engagements R. Chaque collection {dA, dB, •..} 
comprend un nombre de defis 6gal au nombre de paires de cles. 
Le dispositif de signature transmet les collections de defis d au dispositif 
temoin, 

• etape 3. reponse du dispositif temoin au defi d : 

Le dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D, a partir desdites collections de defis d {dA, dB, ...} 
revues du dispositif controleur. A cet effet, 
il effectue des operations du type : 

D. = . QA. . QB. . ... mod 
puis, il applique la methode des restes chinois. 

Le nombre d' operations arithmetiques modulo p, a effectuer par les 
quatriemes moyens de calcul pour calculer chacun des pour chacun des 
p, est reduit par rapport a ce qu'il serait si les operations etaient effectuees 
modulo n. 

II y a autant de reponses D calculees par le temoin que d' engagements R et 
de defis d. 
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Le dispositif temoin comporte des moyens de transmission pour transmettre 
les reponses D au dispositif de signature et/ou au dispositif controleur. 

• etape 4. doimees desdnees au dispositif controleur : 

Le dispositif de signature transmet au dispositif conU-oleur un message 
signe comprenant : 

- le message m, 

- les collections de defis d ou les engagements R, 

- chaque reponse D 

• etape 5. verification par le dispositif controleur : 
Cas ou le dispositif controleur re9oit la collection des defis d, 

Dans le cas ou le dispositif controleur regoit les collections des defis d et 
des reponses D, ledit dispositif contr61eur comporte des cinquiemes moyens 
de calcul pour calculer a partir de chaque reponse D un engagement R' en 
effectuant des operations du type : 

R'= GA '\ GB '\ ...D^ mod n 

ou du type : 

R' , GA '\ GB '\ ...= mod n 

Le dispositif contr61eur comporte des sixiemes moyens de calcul pour 
calculer chaque defi d', en appliquant la fonction de hachage f ayant 
comme arguments le message m et chaque engagement reconstruit R', 
Le dispositif controleur comporte des septiemes moyens de calcul pour 
comparer et verifier que chaque defi d' est identique au defi d figurant dans 
le message signe. 

Cas ou le dispositif controleur re^oit la collection des engagements R 

Dans le cas ou le dispositif controleur revolt la collection des engagements 
R et des reponses D, ledit dispositif controleur comporte des cinquiemes 
moyens de calcul pour calculer chaque defi d\ en appliquant la fonction de 
hachage f ayant comme arguments le message m et chaque engagement R. 
Le dispositif controleur comporte des sixiemes moyens de calcul pour 
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calculer alors la collection des engagements R' en effectuant des operation 
du type 

R' = GA . GB ' * . ... mod n 

ou du type : 

R' . GA GB ' \ ...= mod n 

Le dispositif contr61eur comporte des septiemes moyens de calcul pour 
comparer et verifier que chaque engagement R' reconstruit est identique a 
r engagement R figurant dans-le message signe. 

Paire de cles conferant une securite equivalente a la connaissance^de la 

cle privee Q 

Dans le cas de la variante de realisation ci-apres exposee les composantes 
QA„ QA^, (QA., ...), et QB„ QB^, ... (QB., ...), ... des cles privies QA, 
QB, ... sont des nombres tires au hasard a raison d'une composante QA. , 
QB. , ... pour chacun desdits facteurs premiers p., lesdites cles privees QA, 
QB, pouvant etre calculees a partir desdites composantes QA,, QA^, ... 
(QA., ...), et QB,, QB^, ... (QB., ...), ... par la methode des restes chinois. 
Dans le cas de cette variante, le dispositif temoin comporte des huitiemes 
moyens de calcul pour calculer lesdites cles publiques GA, GB, 

• en effectuant des operations du type : 

GA= QA/modp. 

• puis en appliquant la methode des restes chinois pour etablir GA tel que 

GA = QA'modn 

ou bien tel que 

GA.QA^ mod n = 1 

Le nombre d' operations arithmetiques modulo p, a effectuer par les 
huitiemes moyens de calcul dudit dispositif temoin pour calculer chacun 
des GA. pour chacun des p, est reduit par rapport par rapport a ce qu'il 
serait si les operations etaient effectuees modulo n. 

De preference dans ce cas, Texposant public de verification v est un 
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nombre premier. II en rdsulte que la paire de cl6s GA, QA conftre une 

securite equivalente k la connaissance de la cle priv^e QA. 

Paire de cles conferant une securite Equivalente k la connaissance de la 

factorisation de n 
De preference, I'exposant public de verification v est du type 

v = a- 

oil k est un parametre de securite plus grand que 1. 
De preference egalement, I'exposant public de verification v est du type 

v = 2'' 

ot k est un parametre de securite plus grand que 1, 

Dans ce cas, la cle publique GA est un carre gA* inferieur k n choisi de 
sorte que les deux equations 

x* = gAmodn et x^ = -gAmodn 
n'ont pas de solution en x dans I'anneau des entiers modulo n. 
Le dispositif temoin comporte des neuviemes moyens de calcul pour 
calculer les dites coraposantes QA„ QA,, ... (QA,, ...) de la cl6 priv^e QA 
en appliquant des formules telles que : 

GA= Q A mod p, 

ou bien telles que : 

GA .QA, ''"^^mod p,s 1 
et en extrayant la k ieme racine carree de GA dans le corps de Galois 
CG(p,). 

Ainsi, le nombre d'op6rations arithmetiques modulo p, a effectuer par les 
neuviemes moyens de calcul du dispositif temoin pour calculer chacun des 
QA, pour chacun des p, est r6duit par rapport a ce qu'il serait si les 
operations 6taient effectuees modulo n. 

On demontre que la paire de cles GA, QA conffere une securite equivalente 
a la connaissance de la factorisation de n. 

De pr6f6rence, pour extraire la k ieme racine carree de GA dans le corps de 
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Galois CG(p,), on utilise les methodes suivantes : 

- dans le cas ou le facteur premier p. est congru k 3 modulo 4, les 
neuvi&mes moyens de calcul du dispositif t^moin appliquent notamment un 
algorithme du type : 

X = (p+l)/4 ; y = x*" mod (p-1) ; z = y ; QAj = GA' mod p. 

- dans le cas ou le facteur premier p. est congru k 1 modulo 4, les 
neuvifemes moyens de calcul du dispositif t6moin appliquent notamment un 
algorithme base sur les suites de Lucas. 

Objet nomade. Carte bancaire 
La present^ invention conceme egalement un objet nomade permettant de 
mettre en oeuvre le proc6de ci-dessus expose. 

L' objet nomade selon 1' invention se presente, par exemple, sous la forme 
d'une carte bancaire a microprocesseur. II permet de diminuer la charge de 
travail pendant une session destin6e a prouver a un serveur contrdleur, 

- I'authenticite d*une entite et/ou 

- I'origine et I'integrite d'un message m, 
L' objet nomade fait intervenir trois entites : 

I. Une premiere entite, appelee dispositif temoin. est contenue dans ledit 
objet nomade. Le dispositif temoin dispose d'une premi&re zone memoire 
contenant des facteurs premiers p,, p^, ... (p., ...) (i etant superieur ou 6gal a 

2) d'un module public n tel que n = p^.Pj. P3 Le dispositif temoin 

dispose aussi d'une deuxieme zone memoire contenant : 

* des composantes QA,, QA^, ..• (QA., ...), et QB„ QB^, ... (QB., ...), 
representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ay ant respectivement pour 
composantes GA,, GA^, ... (GA., ...) et GB,, GB^, ... (GB., ...) 

* des exposants publics de verification vx, vy, ... 

Les cl6s privees et les cles publiques sont liees par des relations du type : 
GA.QA" mod n = 1 ou GA = QA'" mod n 
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Le dispositif t6moin comporte aussi des premiers moyens de calcul pour 
calculer des engagements R en effectuant des operations du type : 

R = Fj""' mod p. 
ou r, est un alea tel que 0 < r. < p^ . 

Ainsi, le nombre d' operations arithmetiques modulo Pj k effectuer par 
lesdits premiers moyens de calcul pour calculer chacun des R pour chacun 
des p, est r6duit par rapport a ce qu'il serait si les operations etaient 
effectu6es modulo n, 

n. Une deuxieme entite est appelee dispositif pilote dudit dispositif temoin. 
EUe peut etre egalement contenue dans ledit objet nomade. Le dispositif 
pilote est appel6 : 

.* dispositif demonstrateur dans le cas de la preuve de Tauthenticite 
d'une entite ou de rauthenticit6 d'un message, 

* dispositif de signature dans les cas de la preuve de I'origine et de 
rintegrite d'un message, 

III. Une troisieme entite, appelee dispositif contrSleur, se presente 
notamment sous la forme d'un terminal et/ou d'un serveur distant connecte 
a un reseau de communication informatique. Le dispositif contrSleur verifie 
Tauthentification ou Torigine et Tintegrite d'un message, 
L' objet nomade comporte des moyens de connexion pour connecter 
electriquement, electromagnedquement, optiquement ou de maniere 
acoustique ledit dispositif temoin et/ou ledit dispositif pilote audit dispositif 
controleun 

Le dispositif temoin re9oit du dispositif pilote ou du dispositif contrSleur un 
ou plusieurs defis d tel que 0 < d < vx - 1 et comporte des deuxiemes 
moyens de calcul pour calculer a partir dudit defi d une ou plusieurs 
reponses D en effectuant des operations du type ; 

D^sr,.QA,'"modp^ 
ou r. est un alea tel que 0 < r. < p^ 
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Ainsi, le nombre d'operations arithmetiques modulo p, h effectuer par 
lesdits deuxifemes moyens de calcul pour calculer chacune des reponses D. 
pour chacun des p. est reduit par rapport a ce qu'il serait si les operations 
etaient effectuees modulo n. 

L'objet nomade comporte des moyens de transnfiission pour transmettre 
audit dispositif controleur la ou les dites reponses D. 

Cas ou Fexposant de verification v est unique 
De meme que precedemment, Tobjet nomade fait intervenir trois entites : 
I. Une premiere entite, appelee dispositif temoin, est contenue dans ledit 
objet nomade. Le dispositif temoin dispose d'une premiere zone memoire 
contenant des facteurs premiers p,, p^, ... (Pi» — ) (i etant superieur ou egai 

a 2) d'un module public n tel que n = Pj.p^. P3 Le dispositif t6moin 

dispose aussi d'une deuxieme zone memoire contenant 

* des composantes QA„ QA^, (QA., ...), et QB,, QB^, (QB., •..), 
representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA^, GA^, ... (GA., ...) et GB,, GB^, (GB., ••.) 

* un exposant public de verification v. 
Les paires de cles privees et publiques sont liees par des relations du type : 

GA.QA' mod n = 1 ou GA = QA'mod n 
Le dispositif temoin comporte aussi des premiers moyens de calcul pour 
calculer des engagements R, 

• en effectuant des operations du type : 

R = mod p, 

OU r. est un entier, tire au hasard, associe au nombre premier p., tel que 0 < 
r < p, , appartenant k au moins une collection d'aleas {r^, r^, Tj, ...}, 

• puis en appliquant la methode des restes chinois, 

II y a autant d' engagements R que de collections d'aleas {r,, r^, ••.}, 
Ainsi, le nombre d'operations arithmetiques modulo p. a effectuer par 
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lesdits premiers moyens de calcul pour calculer chacun des R, pour chacun 
des p, est reduit par rapport k ce qu'il serait si les operations 6taient 
effectu^es modulo n. 

n. Une deuxieme entit6 est appelee dispositif pilote dudit dispositif t6moin. 
EUe peut 6tre 6galement contenue dans ledit objet nomade. Le dispositif 
pilote est appele : 

* dispositif d6monsti^teur dans le cas de la preuve de I'authenticite 
d'une entite ou de I'autiienticitg d'un message, 

* dispositif de signature dans les cas de la preuve de I'origine et de 
r integrity d'un message. 

III. Une ti-oisi6me entite, appelee dispositif conti-61eur, se presente 
notamment sous la forme d'un terminal et/ou d'un serveur distant connecte 
a un r6seau de conmaunication infonnatique. Le dispositif contrdleur verifie 
I'authentification ou I'origine et rint6grit6 d'un message. 
L' objet nomade comporte des moyens de connexion pour connecter 
61ectriquement, electromagnetiquement, optiquement ou de maniere 
acoustique ledit dispositif temoin et^ou ledit dispositif pilote audit dispositif 
contrSleur. 

Le dispositif temoin re?oit du dispositif pilote ou du dispositif conti-61eur, 
des collections de defis d {dA, dB, ...} tels que 0 < dA < v - 1. Le nombre 
des collections de defis d 6tant 6gal au nombre d'engagements R. Chaque 
collection {dA, dB, ..,} comprend un nombre de d^fis egal au nombre de 
paires de cles. 

Le dispositif temoin comporte des deuxiemes moyens de calcul pour 
calculer a partir de chacune desdites collections de defis {dA, dB, ...} des 
reponses D. A cet effet, 

• il effectue des operations du type : 

D, s r,. QA, *^ . QB, . ... mod p, 

• puis, il appliquant la.methode des restes chinois. 
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II y a autant de reponses D que d'engagements R et de defis d. 
Ainsi, le nombre d' operations arithm6tiques modulo p. a effectuer par 
lesdits deuxiemes moyens de calcul pour calculer chacun des pour 
chacun des p. est reduit par rapport a ce qu*il serait si les operations etaient 
effectuees modulo n. 

L'objet nomade comporte des moyens de transmission pour transmettre 
audit dispositif controleur la ou lesdites reponses D. 

On va maintenant exposer des variantes de realisation de I'objet nomade 
selon r invention concemant : 

- le cas d'une authentification d'entite, 

- le cas d'une authentification de message, 

- le cas d'une signature numerique de message. 

Cas d'une authentification d'entite 
Cas ou I'exposant de verification v est unique. 
Dans le cas de cette variante de realisation particuliere, la session est 
destinee a prouver a un dispositif contr61eur I'authenticite d'une entite. 
Comme dans le cas general, la session fait intervenir trois entites. 
I. Une premiere entite, appelee dispositif temoin, est contenue dans ledit 
objet nomade. Le dispositif temoin comporte une premiere zone memoire 
contenant des facteurs premiers p„ p^, ... (p. , ...) (i etant superieur ou egal 
a 2) d'un module public n tel que n = Pj-Pj. P3. . Le dispositif temoin 
comporte aussi une deuxieme zone memoire contenant : 

* des composantes QA„ QA^, ... (QA., ...), et QB„ QB,, ... (QB., ...), 
representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ay ant respectivement pour 
composantes GA,, GA^, ... (GA., ...) et GB,, GB„ ... (GB^, ...) 

* un exposant public de verification v. 

Les paires de cles privees et publiques sont liees par des relations du type : 
GA.Q A* mod n = 1 ou GA = QA'' mod n 
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II. Une deuxieme entite est appelee dispositif demonstrateur du dispositif 
temoin. EUe peut etre egalement contenue dans ledit objet nomade. 

III. Une troisieme entite, appelee dispositif controleur, se presente 
notamment sous la forme d'un terminal et/ou d'un serveur distant connecte 
a un reseau de communication informatique. 

L' objet nomade comporte des moyens de connexion pour connecter 
electriquement, electromagnetiquement, optiquement ou de manifere 
acoustique ledit dispositif temoin et/ou ledit dispositif demonstrateur audit 
dispositif contrSleur. 

Pour prouver I'authenticite d'une entite, ledit objet nomade execute les 
6tapes suivantes : 

• etape 1. engagement R du dispositif temoin : 

Le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et en prive, a chaque appel, au moins une collection de nombres 
entiers {r,, r^, r^, ...}, telle que, pour chaque facteur premier p., chaque 
collection comporte un alea rpositif et plus petit que p. . 
Le dispositif temoin comporte des deuxiemes moyens de calcul pour elever 
chaque alea r a la puissance v ieme modulo p. , pour chaque facteur 
premier Pj , 

R = r; mod p. 

Ainsi, le nombre d' operations arithmetiques modulo p. a effectuer par les 
deuxiemes moyens de calcul pour calculer chacun des R. pour chacun des p. 
est reduit par rapport a ce qu'il serait si les operations etaient effectuees 
modulo n) 

Puis, lesdits deuxiemes moyens de calcul du dispositif temoin etablissent 
chaque engagement R modulo n selon la methode des restes chinois. 
II y a autant d' engagements R que de collections d'aleas {r^, r^, ...}. 

• etape 2. transmission des engagements R et reception des defis d 
destines au dispositif temoin : 
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L'objet nomade comporte des moyens de transmission pour transmettre au 
dispositif controleur tout ou partie de chaque engagement R. L'objet 
nomade comporte des moyens de reception pour recevoir des collections de 
defis d {dA, dB, produits par ledit dispositif contrSleur. 

• etape 3, reponse du dispositif temoin aux defis d : 

Le dispositif temoin comporte des troisiemes moyens de calcul pour 
calculer des reponses D, a partir desdites collections de defis d {dA, dB, ...} 
revues du dispositif controleur. A cet effet, 
il effectue des operations du type : 

n = r,. QA, • QB, . ... mod p. 
puis, il applique la methode des restes chinois. 

Ainsi, le nombre d' operations arithmetiques modulo p. a effectuer par les 
troisiemes moyens de calcul pour calculer chacun des Dj pour chacun des p. 
est reduit par rapport a ce qu'il serait si les operations etaient effectuees 
modulo n. 

II y a autant de reponses D calculees par le temoin que d'engagements R et 
de defis d. 

• etape 4. donnees destinees au dispositif controleur : 

L'objet nomade comporte des moyens de transmission poiir transmettre au 
dispositif controleur tout ou partie de chaque reponse D, 

• etape 5. verification par le dispositif controleur : 

Le dispositif controleur verifie la coherence des triplets {R, d, D} et 
I'authenticite de I'entite controlee. 

Cas d'une authentification de message 
Cas ou I'exposant de verification v est unique. 
Dans le cas de cette variante de realisation particuliere, la session est 
destinee a prouver a un controleur I'authenticite d'un message m. 
Comme dans le cas general, l'objet nomade fait intervenir trois entites : 
I. Une premiere entite, appelee dispositif temoin, est contenue dans ledit 
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objet nomade,. 

Le dispositif temoin comporte une premiere zone memoire contenant des 
facteurs premiers p^, p^, ... (p. , ...) (i etant superieur ou egal a 2) d'un 

module public n tel que n = Pj.p^. P3 Le dispositif temoin comporte 

aussi une deuxieme zone memoire contenant 

* des composantes QA„ QA„ ... (QA. , ...). et QB„ QB„ ... (QB. , 
representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ay ant respectivement pour 
composantes GA^, GA^, ... (GA., ...) et GB„ GB^, ... (GB., ...) 

* un exposant public de verification v. 

Les paires de cles privees et publiques sont liees par des relations du type : 
GA.QA' mod n = 1 ou GA = QA'mod n 

II. Une deuxieme entite, est appelee demonstrateur dudit dispositif temoin. 
EUe peut etre egalement contenue dans ledit objet nomade. 

III. Une troisieme entite appelee dispositif controleur se presente sous la 
forme d'un terminal et/ou d'un serveur distant connecte a un reseau de 
communication informatique. 

L* objet nomade comporte des moyens de connexion pour connecter 
electriquement, electromagnetiquement, optiquement ou de maniere 
acoustique ledit dispositif temoin et/ou ledit dispositif demonstrateur audit 
dispositif contrSleur. 

Pour prouver I'authenticite d'un message ledit objet nomade execute les 
etapes suivantes : 

• etape 1. engagement R du dispositif temoin : 
Le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et en prive, a chaque appel, au moins une collection de nombres 
entiers {Fj, r^, r^j ...}, telle que, pour chaque facteur premier p., chaque 
collection comporte un alea r. positif et plus petit que p. . 
Le dispositif temoin comporte des deuxiemes moyens de calcul pour elever 
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chaque alea r, a la puissance v ieme modulo p. , pour chaque facteur 
premier Pj , 

R = mod p. 

Ainsi; le nombre d' operations arithmetiques modulo p, a effectuer par les 
deuxiemes moyens de calcul pour calculer chacun des R pour chacun des p. 
est reduit par rapport a ce qu'il serait si les operations etaient effectu6es 
modulo n. 

Puis, lesdits deuxiemes moyens de calcul dudit dispositif temoin etablissent 
chaque engagement R modulo n selon la methode des restes chinois. 
II y a autant d' engagements R que de collections d'al6as {r,, r^, Tj, ...}. 

• etape 2. reception des defis d destines au dispositif temoin: 

Le dispositif demonstrateur comporte des premiers moyens de calcul pour 
calculer un jeton T, en appliquant une fonction de hachage f ayant comme 
arguments le message m et chaque engagement R, L'objet nomade 
comporte des moyens de transmission pour transmettre audit dispositif 
contrdleur le jeton T. L'objet nomade comporte des moyens de reception 
pour recevoir des collections de defis d {dA, dB, .•.} produits par ledit 
dispositif controleur au moyen du jeton T. 

• etape 3. reponse du dispositif temoin au defi d : 

Le dispositif temoin comporte des troisiemes moyens de calcul pour 
calculer des reponses D, a partir desdites collections de defis d {dA, dB, ...} 
refues du dispositif controleur. A cet effet, 
il effectuant des operations du type : 

D. = r . QA. . QB. ^ . mod p. 
puis, il applique la methode des restes chinois. 

Ainsi, le nombre d' operations arithmetiques modulo p. a effectuer par les 
quatriemes moyens de calcul pour calculer chacun des D. pour chacun des 
p. est reduit par rapport a ce qu'il serait si les operations etaient effectuees 
modulo n 
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II y a autant de reponses D calculees par le t6moin que d' engagements R et 
de d6fis d. 

* etape 4. donnees destinees au dispositif contrdleur : 

L'objet nomade comporte des moyens de transmission pour transmettre 
audit dispositif controleur chaque reponse D. 

* etape 5. veriGcation par le dispositif contrdleur : 

Le dispositif contr6Ieur verifie la coherence des triplets {R, d, D) et 
I'authenticite du message m. 

Cas d'une signature numerique de message 
Cas ou I'exposant de verification v est unique. 
Dans le cas de cette variante de realisation particuliere, la session est 
destinee k prouver a un controleur la signature num6rique d'un message m. 
Comme dans le cas general, Tobjet nomade fait intervenir trois entiles : 

I. Une premiere entite, appel^e dispositif temoin, est contenue dans ledit 
objet nomade. Le dispositif temoin comporte une premiere zone memoire 
contenant des facteurs premiers p„ p„ ... (p,, ...) (i etant superieur ou egal 

a 2) d'un module public n tel que n = p,.p^. p, Le dispositif temoin 

comporte aussi une deuxieme zone memoire contenant : 

* des composantes QA„ QA,, ... (QA, , ...), et QB„ QB,, ... (QB, , ...). 
representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA„ GA„ ... (GA, , ...) et GB„ GB,, ... (GB, , 

* un exposant public de verification v. 

Les paires de cles privees et publiques sont liees par des relations du type : 
GA.QA' mod n = 1 ou GA = QA'mod n 

II. Une deuxieme entite est appelee dispositif de signature, EUe peut Stre 
egalement contenue dans ledit objet nomade. 

III. Une troisieme entite appelee dispositif controleur se presente sous la 
forme d'un terminal et/ou d'un serveur distant connecte a un reseau de 
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communication infomiatique. 

L'objet nomade comporte des moyens de connexion pour connecter 
electriquement, electromagnetiquement, optiquement ou de maniere 
acoustique ledit dispositif temoin et ledit dispositif de signature audit 
dispositif controleur. 

Pour prouver la signature d'un message ledit objet nomade execute les 
etapes suivantes : 

• etape 1. engagement 41 du dispositif temoin : 

Le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et en prive, a chaque appel, au moins une collection de nombres 
entiers {r„ r^, r^, ...}, telle que, pour chaque facteur premier Pj, chaque 
collection comporte un alea rpositif et plus petit que p. . 
Le dispositif temoin comporte des deuxiemes moyens de calcul pour elever 
chaque alea r a la puissance v ieme modulo p. , pour chaque facteur 
premier p. , 

R = r/ mod p. 

Puis, lesdits deuxiemes moyens de calcul dudit dispositif temoin etablissent 
chaque engagement R modulo n selon la methode des restes chinois. 
Ainsi, le nombre d' operations arithmetiques modulo p. a effectuer par les 
deuxiemes moyens de calcul pour calculer chacun des R. pour chacun des p. 
est reduit par rapport a ce qu'il serait si les operations etaient effectuees 
modulo n. 

II y a autant d'engagements R que de collections d'aleas {r^ r^, .•.}. 

• etape 2, defi d destine au dispositif temoin : 

Le dispositif de signature comporte des troisiemes moyens de calcul pour 
calculer, en appliquant une fonction de hachage f ayant comme arguments 
le message m et chaque engagement R, au moins une collection de d6fis d 
{dA, dB, ...} tels que 0 < dA < v - 1. Le nombre des collections de defis d 
etant egal au nombre d'engagements R. Chaque collection {dA, dB, 
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comprend un nombre de defis egal au nombre de paires de cits. 

Le dispositif de signature transmet les collections de defis d au dispositif 

temoin. 

• etape 3. reponse du dispositif temoin au defi d : 

Le dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D, a partir desdites collections de defis d {dA, dB, „.} 
refues du dispositif controleur. A cet effet, 
il effectue des operations du type : 

R = r . QA.^ . QB, . ... mod p^ 
puis, il appliquant la methode des restes chinois. 

Ainsi, le nombre d'operations arithmetiques modulo p. a effectuer par les 
quatriemes moyens de calcul pour calculer chacun des D. pour chacun des 
p. est reduit par rapport a ce qu'il serait si les operations etaient effectuees 
modulo n. 

II y a autant de reponses D calculees par le temoin que d' engagements R et 
de defis d, 

L'objet nomade comporte des moyens de transmission pour transmettre les 
reponses D au dispositif de signature et/ou au dispositif controleur. 

• etape 4. donnees destinees au dispositif controleur : 

L'objet nomade comporte des moyens de transmission pour transmettre au 
dispositif controleur un message signe comprenant : 

- le message m, 

- les collections de defis d ou les engagements R, 

- chaque reponse D 

• etape 5. verification par le dispositif controleur : 

Le dispositif contrdleur verifie la coherence des triplets {R, d, D} et la 
signature numerique du message m. 

Paire de cles conferant une securite equivalente a la connaissance de la 

cle privee Q 
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La paire de cles GA, QA,... n'a plus de raison d*etre syst6inatiquement 
deduite de ridentit6 du temoin, comme dans le cas du proced6 GQ. 
Dans le cas de la variante ci-apres expos6e les composantes QA,, QA^, 
(QAj , •..), et QB„ QB^, ... (QB. , ...), ... des cles privees QA, QB, ... sont 
des nombres tires au hasard a raison d*une composante QAj , QBj, ... pour 
chacun desdits facteurs premiers p., lesdites cles privees QA, QB, pouvant 
etre calcul6es a partir desdites composantes QA„ QA^, ... (QA. , ...), et QB^, 
QBj, ... (QB, , ...), par la methode des restes chinois. 

Le dispositif temoin comporte des huitiemes moyens de calcul pour calculer 
lesdites cl6s publiques GA, GB, 

• en effectuant des operations du type : 

GA.= QA;modp. 

• puis en appliquant la methode des restes chinois pour etablir GA tel que 

GA = QA*modn 

ou bien tel que 

GA.QA' mod n = 1 

Ainsi, le nombre d'operations arithmetiques modulo p. a effectuer par les 
huitiemes moyens de calcul dudit dispositif temoin pour calculer chacun 
des GA. pour chacun des p. est reduit par rapport a ce qu'il serait si les 
operations etaient effectuees modulo n. 

De preference, I'exposant public de verification v est un nombre premier. II 
en resulte que la paire de cles GA, QA confere une securite equivalente a la 
connaissance de la cle privee QA. 

Paire de cles conferant une securite equivalente a la connaissance de la 

factorisation de n 

De preference, Texposant public de verification v est du type 

k 

v = a 

ou k est un parametre de securite plus grand que 1 . 

De preference egalement, I'exposant public de verification v est du type 
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y^2^ 

ou k est un parametre de securite plus grand que L 

Dans ce cas, la cle publique GA est un carre gA^ inferieur a n choisi de 
sorte que les deux equations 

= gAmod n et = - gA mod n 
n'ont pas de solution en x dans Tanneau des entiers modulo n. 
Le dispositif temoin comportant des neuvifemes moyens de calcul pour 
calculer lesdites composantes QA„ QA„ ... (QA. , ...) de la cle privee QA 
en appliquant des formules telles que : 

GAs QA, mod 

ou bien telles que : 

GA .QA.'^ '^ mod ppl 
et en extrayant la k ieme racine cairee de GA dans le corps de Galois 
CG(p,). 

Ainsi, le nombre d'operations arithmetiques modulo p. a effectuer par les 
neuvi^mes moyens de calcul du dispositif temoin pour calculer chacun des 
QA pour chacun des p. est reduit par rapport a ce qu'il serait si les 
operations etaient effectuees modulo n. 

On demontre que la paire de cles GA, QA confere une securite equivalente 
k la connaissance de la factorisation de n, 

De preference, pour extraire la k ieme racine carree de GA dans le corps de 
Galois CG(p.), on utilise les methodes suivantes : 

* dans le cas ou le facteur premier p^ est congru a 3 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme du type : 

X = (p+l)/4 ; y = x' mod (p-1) ; z = y ; QA. = GA' mod p. 

* dans le cas dtx le facteur premier p. est congru a 1 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme base sm- les suites de Lucas. 
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Terminal ou Serveur distant 
Concept general GQ2 

La pr6sente invention conceme egalement un dispositif de contrdle, se 
presentant sous la forme d'un terminal ou d'un serveur distant connecte a 
un reseau de communication informatique. 

Le terminal ou le serveur selon T invention permet de mettre en ceuvre le 
proc6de ci-dessus expose et de diminuer la charge de travail pendant une 
session destinde a verifier : 

- Tauthenticite d'une entite et/ou 

- I'origine et Tintegrite d'un message m. 
Le dispositif de controle met en oeuvre : 

- un module public n tel que n soit le produit de facteurs premiers 
secrets p„ p^, o., (p., ...) (i etant superieur ou egal a 2) 

n = Pi-Pr Pa- ' 

- des cl6s publiques GA, GB, ... 

- des exposants publics de verification vx, vy, ... 

lesdites cles privees GA et les cles publiques associees QA etant liees par 
des relations du type : 

GA.QA"" mod n = 1 ou GA = QA" mod n 
Le dispositif de contrSle fait intervenir trois entites. 

I. Une premiere entite, appelee dispositif temoin, contenue notamment dans 
un objet nomade se presentant par exemple sous la forme d'une carte 
bancaire k microprocesseur. Le dispositif temoin produit des engagements 
R et des reponses D a des defis d. 

II. Une deuxieme entite est appelee dispositif pilote dudit dispositif temoin. 
Elle peut etre contenue notamment dans ledit objet nomade. 

III. Une troisieme entite, appelee dispositif controleur, est contenue dans 
ledit dispositif de contrSle. 

Le dispositif de controle comporte : 
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- des moyens de connexion pour connecter electriquement, 
electromagn6tiquement, optiquement ou de mani^re acoustique ledit 
dispositif controleur audit dispositif t6moin et/ou audit dispositif pilote, 

- des moyens de transmission pour transmettre les donn6es produites 
par ledit dispositif controleur vers ledit dispositif. t6moin et/ou ledit 
dispositif pilote, 

- des moyens de reception pour recevoir les donn6es provenant dudit 
dispositif t^moin et^ou dudit-dispositif pilote. 

Le dispositif controleur comporte : 

- des premiers moyens de calcul pour produire un ou plusieurs d^fis d 
tel que 0 < d < vx - 1, 

- des deuxiemes moyens de calcul pour calculer, en fonction des 
reponses D reques dudit dispositif temoin et/ou dudit dispositif pilote, des 
engagements R' en effectuant des operations du type : 

R^sGA^D" modn 

ou du type : 

R',.GA''=D"'modn 

- des troisiemes moyens de calcul pour verifier que les hiplets {R% d, 
D} sont coherents. 

Cas ou Texposant de verification v est unique 

De meme que precedemment, ledit dispositif de conti-61e se presente sous la 
forme d'un terminal ou d'un serveur distant connecte k un r6seau de 
communication informatique. II met en ceuvre : 

- un module public n tel que n soit le produit de facteurs premiers 
secrets p„ p,, ... (p., ...) (i etant superieur ou egal a 2) 

n = P,-P2- Pa 

- des cles publiques GA, GB, ... 

- un exposant public de verification v 

Les cl6s privies GA et les cles publiques associees QA sont liees par des 
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relations du type : 

GA.QA' mod n = 1 ou GA = QA* mod n 

ledit dispositif de controle fait intervenir trois entites : 
I. Une premiere entite, appelee dispositif temoin, est contenue notamment 
dans un objet nomade se presentant par exemple sous la forme d'une carte 
bancaire k microprocesseur. Le dispositif temoin produit des engagements 
R et des r^ponses D a des defis d. 

n. Une deuxieme entite est appelee dispositif pilote dudit dispositif temoin 

Elle peut etre contenue notamment dans ledit objet nomade. 

III. Une troisieme entite, appelee dispositif contrdleur, est contenue dans 

ledit dispositif de contrSle. 

Le dispositif de controle comporte : 

- des moyens de connexion pour connecter 61ectriquement, 
electromagnetiquement, optiquement ou de maniere acoustique ledit 
dispositif controleur audit dispositif temoin et/ou audit dispositif pilote, 

- des moyens de transmission pour transmettre les donnees produites 
par ledit dispositif contrSleur vers ledit dispositif temoin et/ou ledit 
dispositif pilote, 

- des moyens de reception pour recevoir les donnees provenant dudit 
dispositif temoin et/ou dudit dispositif pilote, 

Le dispositif controleur comporte : 

- des premiers moyens de calcul pour produire un ou plusieurs defis d 
{dA, dB, ..•} tels que 0 < dA < v - 1, 

- des deuxiemes moyens de calcul pour calculer, en fonction des 
reponses D revues du dudit dispositif temoin et/ou dudit dispositif pilote, 
des engagements R' en effectuant des operations du type : 

R' = GA'^.GB'^....D' modn 

ou du type : 

R' . GA GB ...s mod n 
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- des troisiemes moyens de calcul pour v6rifier que les triplets {R% d, 
D} sont coherents. 

Cas d'une authentification d*entit^ 
Cas ou I'exposant de verification v est unique. 

Dans le cas de cette variante de realisation, la session est destin^e k verifier 
I'authenticite d'une endte. Dans le cas d'une authentification d'entite, le 
dispositif pilote est appele dispositif demonstrateur. 

Pour prouver I'authenticite d'une entite ledit dispositif de contrSle execute 
les etapes suivantes : 

• 6tape 1. engagement R du dispositif temoin : 

Le dispositif temoin produit au moins un engagement R h. partir d'au moins 
une collection d'aleas {r„ r„ r,, ...}, telle que, pour chaque facteur premier 
p,, chaque collection comporte un al6a r, entier positif et plus petit que p. . 
II y a autant d' engagements R que de collections d'aleas. 

• etape 2. defis produits par le dispositif contr5Ieur et destines au 
dispositif temoin : 

Les moyens de reception du dispositif de controle resolvent tout ou partie 
de chaque engagement R, transmis par le dispositif d6monstrateur, et le 
transmettent au dispositif contrdleur. 

Le dispositif conU-oleur comporte des premiers moyens de calcul pour 
calculer, apres avoir re^u tout ou partie de chaque engagement R, au moins 
une collection de defis d {dA, dB, ...} tels que 0 ^ dA ^ v - 1. Le nombre 
des collections de defis d est egal au nombre d'engagements R. Chaque 
collection {dA, dB, ...} comprend un nombre de defis egal au nombre de 
paires de cles. 

• etape 3. repons'e du dispositif temoin aux defis d : 

Le dispositif temoin comporte des quatrifemes moyens de calcul pour 
calculer des reponses D, k partir desdites collections de defis d {dA, dB, ...} 
refues du dispositif controleur. II y a autant de reponses D que 
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d' engagements R et de d6fis d. 

• etape 4. donnees destinees au dispositif controleur : 

Les moyens de reception du dispositif de controle re9oivent du dispositif 
d6monstrateiir chaque reponse D. 

• etape 5. verification par le dispositif controleur : 

Le dispositif controleur comporte des deuxiemes moyens de calcul pour 
calculer a partir de chaque reponse D un engagement R' en effectuant des 
operations du type : 

R'=GA'\GB'"....D^ modn 

ou du type : 

R\ GA ^\ GB mod n 

Le dispositif controleur comporte des troisiemes moyens de calcul pour 
comparer et verifier que chaque engagement reconstruit R' reproduit tout 
ou partie de chaque engagement R transmis a 1' etape 2 par le dispositif 
demonstrateur. 

Cas d'une authentification de message 
Cas ou Texposant de verification v est unique. 

Dans le cas de cette variante de reahsation particuliere, la session est 
destinee a verifier I'authenticite d'un message m. Dans le cas d'une 
authentification d'un message m, le dispositif pilote est appele dispositif 
demonstrateur. 

Pour prouver Pauthenticite d'un message m, ledit dispositif de controle 
execute les etapes suivantes : 

• etape 1. engagement R du dispositif temoin : 

Le dispositif temoin produit au moins un engagement R h partir d'au moins 
une collection d'aleas {r^, r^, r^^ telle que, pour chaque facteur premier 
p., chaque collection comporte un alea r. entier positif et plus petit que p. . 
II y a autant d' engagements R que de collections d'aleas. 

• etape 2. defis d produits par ledit dispositif controleur et 
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destines au dispositif temoin : 

Les moyens de reception du dispositif de controle re^oivent un jeton T 
calcule et transmis par le dispositif demonstrateur en appliquant une 
fonction de hachage f ayant comme arguments le message m et chaque 
engagement R. 

Le dispositif controleur comporte des premiers moyens de calcul pour 
calculer, apres avoir rcgu le jeton T, au moins une collection de defis d 
{dA, dB, ...} teis que 0 < dA < v - 1. Le nombre des collections de defis d 
est egal au nombre d' engagements R. Chaque collection {dA, dB, ...} 
comprend un nombre de defis egal au nombre de paires de cles. 

• etape 3. reponse du dispositif temoin au defl d : 

Le dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D, a partir desdites collection de defis d {dA, dB, ,..} 
re9ues du dispositif controleur. II y a autant de reponses D calculees par le 
temoin que d' engagements R et de defis d. 

• etape 4. donnees destinees au dispositif controleur : 

Les moyens de reception du dispositif de controle re^oivent du dispositif 
demonstrateur chaque reponse D. 

• etape 5. verification par le dispositif controleur : 

Le dispositif controleur comporte des deuxiemes moyens de calcul pour 
calculer a partir de chaque reponse D un engagement en effectuant des 
operations du type : 

R'= GA GB ...D^ mod n 

ou du type : 

R\ GA . GB mod n 

Le dispositif controleur comporte des troisiemes moyens de calcul pour 
calculer un jeton T% en appliquant la fonction de hachage f ayant conune 
arguments le message m et chaque engagement R'. 

Le dispositif contrSleur comporte des quatriemes moyens de calcul pour 
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comparer et verifier que le jeton T' est identique au jeton T transmis a 
Tetape 2 par le dispositif demonstrateur. 

Cas d'une signature numerique de message 
Cas oil Fexposant de verification v est unique 

Dans le cas de cette variante de realisation particuliere, la session est 
destinee a verifier la signature numerique d'un message m. Dans le cas 
d'une authentification d'un message m, le dispositif pilote est appel6 
dispositif de signature. 

Pour prouver la signature numerique du message m, ledit dispositif de 
controle execute les etapes suivantes : 

• etape 1. engagement R du temoin : 

Le dispositif temoin produit au moins un engagement R a partir d'au moins 
une collection d'aleas {r,, r^, r^^ ...}, telle que, pour chaque facteur premier 
p., chaque collection comporte un alea r entier positif et plus petit que p. . 
II y a autant d' engagements R que de collections d'aleas. 

• etape 2. defis d destines au dispositif temoin : 

Le dispositif de signature calcule, en appliquant une fonction de hachage f 
ayant comme arguments le message m et chaque engagement R, au moins 
une collection de defis d {dA, dB, ••.} tels que 0 < dA < v - 1. Le nombre 
des collections de defis d est egal au nombre d'engagements R. Chaque 
collection {dA, dB, ♦..} comprend un nombre de defis egal au nombre de 
paires de cles. 

Le dispositif de signature transmet les collections de defis d au dispositif 
temoin. 

• etape 3. reponse du dispositif temoin au defi d : 

Le dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D, a partir desdites collections de defis d {dA, dB, 
...}. 11 y a autant de reponses D calculees par le temoin que d'engagements 
R et de defis d. 
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Le dispositif temoin comporte des moyens de transmission pour transmettre 
les reponses D au dispositif de signature et/ou au dispositif contrdleur. 

• etape 4. donnees destinees au dispositif contrdleur : 

Les moyens de reception du dispositif de contrdle refoivent du dispositif de 
signature un message signe comprenant : 

- le message m, 

- les collections de defis d ou les engagements R, 

- chaque r^ponse D. 

• etape 5. verification par le dispositif contrdleur : 

Cas ou le dispositif controleur revolt la collection des defis d 

Dans ce cas, le dispositif controleur revolt les collections des defis d et des 
reponses D. 

Le dispositif controleur comporte : 

• des premiers moyens de calcul pour calculer a partir de chaque 
reponse D un engagement R' en effectuant des operations du type : 

R'=GA*'\GB"^....D' modn 

ou du type : 

R'. GA ''\ GB '\ ...= mod n 

* des deuxiemes moyens de calcul pour calculer chaque defi d', en 
appliquant la fonction de hachage f ayant comme arguments le message m 
et chaque engagement reconstruit R', 

* des troisiemes moyens de calcul pour comparer et verifier que 
chaque defi d' est identique au defi d figurant dans le message signe. 

Cas oil le dispositif controleur re^oit la collection des engagements R 
Dans ce cas, le dispositif contrdleur regoit la collection des engagements R 
et des reponses D, 
Le dispositif contrdleur comporte : 

* des premiers moyens de calcul pour calculer chaque d6fi d% en 
appliquant la fonction de hachage f ayant comme arguments le message m 
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et chaque engagement R, 

* des deuxiemes moyens de calcul pour calculer, alors, la collection 
des engagements R' en effectuant des operation du type 

R' = GA ''^ . GB ' . ... mod n 

ou du type : 

R' . GA ' ^ . GB . ... = mod n 

* des troisiemes moyens de calcul pour comparer et verifier que 
chaque engagement R' reconstruit est identique h T engagement R figurant 
dans le message signe. 

Paire de cles conferant une securite equivalente a la connaissance de la 

cle privee Q 

La paire des cles GA, QA, ... n'a plus raison d'etre systematiquement 
deduite de I'identite du temoin, comme dans le cas du procede GQ. 
Dans le cas de la variante de realisation ci-apres exposee les composantes 
QA„ QAj, ... (QAj , ...), et QB„ QB^, ... (QB, , ...), des cles privees QA, 
QB, ... sont des nombres tires au hasard a raison d'une composante QA. , 
QB. , ... pour chacun desdits facteurs premiers p., lesdites cles privees QA, 
QB, pouvant etre calculees a partir desdites composantes QA„ QA^, ... 
(QA. , ...), et QBj, QBj, ... (QB,, ...), ... par la methode des restes chinois, 
Le dispositif temoin comporte des moyens de calcul pour calculer les cles 
publiques GA, GB, 

• en effectuant des operations du type : 

GA. = QA/modp, 

• puis, en appliquant la methode des restes chinois pour etablir GA tel que 

GA = QA'modn 

ou bien tel que 

GA.QA' mod n = 1 

Le nombre d' operations arithmetiques modulo Pj a effectuer par les 
huitiemes moyens de calcul dudit dispositif temoin pour calculer chacun 
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des GA. pour chacun des p, est reduit par rapport k ce qu'il serait si les 
operations etaient effectu6es modulo n. 

De preference, I'exposant pubUc de verification v est un nombre premier. 
On peut d6montrer que la paire de cl^s GA, QA conffere une sdcurit6 
equivalente a la connaissance de la cl6 privee QA. 

Paire de cles conferant une securite equivalente ^ la connaissance de la 

factorisation de n 

De preference, I'exposant public de verification v est du type 

v = a'' 

oh k est un parametre de securite plus grand que 1. 
De preference egalement, I'exposant public de verification v est du type 

v = 2'' 

ou k est un paramfetre de securite plus grand que 1, 

Dans ce cas cie publique GA est un carre gA* inferieur k n choisi de sorte 
que les deux equations 

x^ = gAmodn et x's-gAmodn 

n'ont pas de solution en x dans I'anneau des entiers modulo n. 
Le dispositif temoin comporte des neuvidmes moyens de calcul pour 
calculer les dites composantes QA„ QA„ ... (QA,, ...) de la cie privee QA 
en appliquant des formules telles que : 

GAs QA, ^-^^ mod p, 

ou bien telles que : 

GA .QA, ''•'"*'raod p,= 1 
et en exti-ayant la k ieme racine carree de GA dans le corps de Galois 
CG(p,). 

Ainsi, le nombre d' operations aritiimetiques modulo p, a effectuer par les 
neuviemes moyens de calcul du dispositif temoin pour calculer chacun des 
QA, pour chacun des p, est reduit par rapport k ce qu'il serait si les 
operations etaient effectuees modulo n. 
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On peut demontrer que la paire de cles GA, QA confere une securite 
equivalente a la connaissance de la factorisation de n. 

De preference, pour extraire la k ieme racine carree de GA dans le corps de 
Galois CG(p,), 

* dans le cas ou le facteur premier p. est congru a 3 modulo 4, les 
neuvidmes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme du type : 

X = (p+l)/4 ; y s x' mod (p-1) ; z = y ; QA. = GA' mod p. 

* dans le cas ou le facteur premier p. est congru k 1 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme base sur les suites de Lucas. 

On va maintenant decrire de maniere detaillee la presente invention en 
presentant dans une premiere partie les elements madiematiques utilises, 
puis, en d6veloppant dans une deuxierhe partie le procede selon T invention 
appele nouveau procede. 

Premiere partie : elements mathematiques 
1. Congruences 

Dans ce paragraphe, x,y etz sont des entiers naturels. z n'est pas nul. 

La notation « x = y (mod z) » se lit « x est congru a y (mod z) » ; elle est 

equivalente k« z divise x—y ». 

1.1. Proprietes de base des congruences 

Les quatre lois suivantes sont utiles. 

(Loi A) 

{ a = b (mod m); x = y (mod m) } 
=> { a±x^b±y (mod/n); a,x = b.y (modm) } 

(Loi B) 

{a.x=b,y (modm); a^b (modm); pgcd(a,m) = l } 
=> { x^y (mod m) } 
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(Loi C) 

{a=b (mod m) } <=> [a.n = bn (mod mn) } 

(Loi D) 

{ i3 = fc (mod r.5); pgcd(r,^) = l } { a = i> (modr); <3 = fc (mod^) } 
1.2. Theoreme de Fermat 

Lorsque p est un nombre premier, (mod p). 

Demonstration. 

La relation est triviale lorsque a est un multiple de p. 

Defmissons la suite {X} pour un nombre entier a quelconque appartenant a 
{1,2, 3, ...p-l}. 

{X}={xi = a. Puis, pour / > 1, x.^^ = a + jc, (mod p)} 
Calculous le terme pour Tindice i+p : 

^i-i-p^^i-^P'^^^i (mod/7) 
Par consequent, la suite {X} est periodique et sa periode est p. 
Les p-1 premiers termes sont distincts et non nuls ; on y retrouve une fois 
et une seule fois chacun des entiers de 1 a p-l ; les p~l premiers termes 
forment done une permutation des entiers de 1 ap—l. 
Calculous le produit des p-\ premiers termes de la suite [X], 
Selonlaloi A, a2a3a. ... (p- l)a = 1.2.3.. . (/? -1) (mod p) 

Selon la loi B, a^'^ =1 (mod p) 

Selon la loi A, (mod p) 

Tlieoreme d'Euler 
La fonction d'Euler est notee par (p(n). C'est le nombre d' entiers positifs 
inferieurs a n et premiers avec n. 
=> Lorsque acin sont premiers entre eux, 

a*P^"^=l (modn). 
=^ Lorsque n est un nombre premier p, 

(p(p)^p~l. 

=^ Lorsque n est le produit de deux nombres premiers distincts et p^. 
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cp(«) = (P-l)-0>,"l). 
=>Lorsque la factorisation de n est . 

(p(n)/n = . . (I-I/P3) . ... 

1.4. Rang des elements dans le corps de Galois CG(p) 
Soil un nombre premier impair p. Soit un nombre entier positif a inferieur a 
p. Definissons la suite [X], 

{X}= { JCj = ^. Puis, pour / > 1, ;c,^^, = a.jc,. (mod p)} 
Calculons le terme pour Tindice /+p et utilisons le theoreme de Fermat. 

^1+ p = ^^-^i = a,xi ^ xi_^i (mod /?) 
Par consequent, la periode de la suite {X} est egale S p-1 ou a un diviseur 
de p-1. Cette periode depend de la valeur de a. Par definition, cette periode 
est appel^Q « le rang de a (mod p) ». 

^rang(a, p) - 1 (^od p) 

Les elements de CG(p) ay ant pour rang p-1 sont appeles les « elements 
generateurs de CG(p). » La denomination est due au fait que leurs 
puissances successives dans CG(p\ c'est-a-dire, les termes de la suite [X] 
pour les indices de 1 a p-l, forment one permutation de tons les elements 
non nuls de CG(p), 

Soit un element generateur a de CG(p). Evaluons le rang de Telement a' 

(mod p) : ce rang s'exprime simplement en fonction de / et de p-1 . 

=> Lorsque / est premier avec />-l, c'est /7-I. 

=> Lorsque i divise p—l, c'est (p-l)/i. 

'=> Dans tons les cas, c'est (p-l)/pgcd(p-l, z). 

Par consequent, dans le corps CG(p), il y a (pCp-1) elements g6nerateurs ou 
(p est la fonction d'Euler. 

Par consequent, dans le corps de Galois CG(p) ou (p-l)/2 est un nombre 
premier impair note par p\ 

il y a un seul element de rang 1 : c'est 1, 
=> il y a un seul element de rang 2 : c'est -1, 
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=^ il y a/7'-l elements de rang p\ 

=> il y ap'-l elements de rang 2.p'; ce sont les elements generateurs. 
1.5. Fonction de Carmichael 

La fonction de Carmichael de n est not6e par Mri). C'est la valeur maximale 
du rang (mod n). 

=>Lorsque n est le produit de deux nombres premiers impairs p, et/?^, 

Mn) = PpcmO?,-!, 
Lorsque a etb sont premiers entre eux, 

Ma.b)=ppcm(Ma),X(b)). 
=> Pour les puissances d' un nombre premier impair p, 

Mp')=p-'. 

=»Pour les puissances de 2, 

X(2)= l;X(4) = 2;X(2') = 2'-^ 
=>Dans tons les cas, M.n) divise (p(n). L'egalite n'intervient que lorsque n 
est premier. 

1.6. Residus quadratiques 

Considerons I'equation x = c (mod n) oii rentier positif c est inferieur a n 
et premier avec n. 

• Lorsque I'equation a des solutions en x, on dit que c est un residu 
quadratique (mod n). 

• Lorsque I'equation n'a pas de solution en x, on dit que c est un residu 
non quadratique (mod «). 

L'ensemble des residus quadratiques (mod n) forme un groupe (mod n) 
pour la multiplication. En effet, le produit de deux residus quadratiques 
(mod n) est un residu quadratique (mod n). En outre, le produit d'un residu 
quadratique (mod n) par un residu non quadratique (mod n) est un residu 
non quadratique (mod «). 

1.7. Structure du corps de Galois CG(p) 

Pour tout nombre premier impair/?, il y a (p-l)/2 residus quadratiques (mod 
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p) et (p-l)/2 r6sidus non quadratiques (mod /?). De plus, l\ 2^ ... ((p-i)/2f 
forment un ensemble complet de residus quadratiques (mod p). 
Pour tout nombre premier impair j?, chaque residu quadratique (mod p) a 
exactement deux racines carrees dans CG(p). En effet, pour tout un element 
generateur a de CG(p), a (mod p) est un residu quadratique si et seulement 
si / est pair ; ses racines carrees sent alors ±a^ (mod p), Les elements x et 
p-x ont le m§me carr6 dans CG(p). 

Pour tout nombre premier p congm a 3 (mod 4), pour tout nombre x positif 
et plus petit que p. Tun des deux nombres x ou p-x est un r6sidu 
quadratique (mod p) et I'autre un r6sidu non quadratique (mod p). Alors, la 
transformation « elever au carre (mod p) » permute T ensemble des residus 
quadratiques (mod p). L'ensemble des residus quadratiques (mod p) est 
souvent note par Q^. Dans Tensemble Q^, les deux transformations « Clever 
au carre (mod p) » et « prendre la racine carree (mod p) » sont definies et 
inverses I'une de Tautre. 

Remarque. Dans CG(p), lorsque (p—l)/2 est un nombre premier impair p\ 
les residus quadratiques (mod p) sont les p'-l elements de rang p' 
completes par 1' element de rang 1, c'est-a-dire, 1. 

Lorsque p est un nombre premier congra a 1 (mod 4), la propriete 
precedente pent se generaliser comme suit : si /7-1 = ou z est impair et e 
plus grand que 1 , alors la transformation « elever au carre (mod p) » 
permute T ensemble des nombres c de rang impair, c'est-a-dire, dont le rang 
divise z (c'est z lui-meme ou bien un diviseur de z), c'est-^-dire, Tensemble 
des nombres c tels qu'il y a des solutions en jc k T equation suivante : 

x (mod p) 

D'une maniere plus generale, dans Tensemble des elements de rang impair 
de CG(p), r operation « Clever au carre (mod p) » est une permutation. La 
permutation inverse pent legitimement s'appeler « prendre la racine carree 
(mod p). » ^ 
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1.7.1. Fonction exponentielle sur CG(p) 

Lorsque p est un nombre premier impair et que a est un element gen6rateur 
de CG(p), la transformation « 6Iever a a la puissance x 'ihm& (mod p) » 
permute les 61ements non nuls de CG(p). La permutation inverse est d^finie 
par « prendre le logarithme discret de y en base a dans CG(p) ». 
Lorsque a est un element generateur de CG(p), 

x^->y = a'' (mod p) <=> yt-^x = loga(y) dansCG(p) 

1.7.2. Fonction puissance sur CG(p) 

Lorsque p est un nombre premier impair et que v est premier avec p-1, la 
transformation « clever at k la puissance v ieme (mod p) » respecte le rang 
des elements. EUe permute les Elements de CG(p). La permutation inverse 
est definie par une autre transformation « elever y k une puissance s ieme 
(mod p) » oil p-l divise v.s-l. On dit que I'exposant s est « inverse de 
I'exposant v (mod p-l). » 

X f-» 37 = (mod p) <=> y^-^x=y^ (mod p) 
1.8. Symboles de Legendre et.de Jacobi 

Lorsque p est un nombre premier, on pent classer les entiers positifs en 
deux categories : les multiples de p et les nombres premiers avec p. En 
outre, les nombres premiers avec p se classent eux-mSmes en deux 
cat6gories : les residus quadratiques (mod p) et les residus non quadratiques 
(mod p). 

Legendre a introduit un symbole special not6 par (c | p). Le symbole de 
Legendre de I'entier posidf c par rapport au nombre premier p prend les 
valeurs +1, -1 et 0. 

• (c \ p) = 0 lorsque c est un multiple dep. 

• (c \ p) = +l lorsque c est un residu quadratique (mod py 

• (c I p) = -1 lorsque c est un rdsidu non quadratique (mod p). 

La formule suivante 6tablie par Euler permet de calculer le symbole de 
Legendre (en assimilant tout naturellement les valeurs -1 et p-l) ; cette 
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formule est encore appel^e le « critfere d'Euler. » 

(c I p) = c^'*^ (mod p) 
Le symbole de Jacobi generalise le symbole de Legendre. Les deux 
symboles sont notes de la mSme maniere. Connaissant la factorisation de 
rentier impair n, la formule suivante definit le symbole de Jacobi par 
rapport ana partir du symbole de Legendre par rapport k chaque facteur 
premier de n. 

Si n-p^oL p^p,.. , ^lors {c\ n)-{c\ p^)a.ic \ p^)p ... 
En d'autres termes, si a et b sont des entiers positifs impairs premiers avec 
c elc\ 

(c \ a.b) = (c \ a).(c \ b) et (c \ a) . (c' \ a)= (c\ c \ a) 
Attention, residus quadratiques et elements avec symbole de Jacobi egal a 
4-1 ne coincident pas. 

* Tous les residus quadratiques (mod n) ont un symbole de Jacobi egal a 
+1. 

* La valeur -1 du symbole de Jacobi caracterise exclusivement des residus 
non quadratiques (mod n). 

* Lorsque n n'est pas premier, il y a des residus non quadratiques dont le 
symbole de Jacobi vaut +1 . 

Voici la base de la loi de reciprocite quadratique, la « reine de la theorie des 
nombres » aux dires de Gauss. Lorsque m et n sont deux nombres premiers 
impairs distincts, deux cas se presentent : 

- Ou bien, ils sont tous deux congrus a 3 (mod 4) ; dans ce cas, une 
seule des deux equations suivantes, x = m (mod n) et jc^ = n (mod m), 
a deux solutions en x. 

- Ou bien, ils ne sont pas tous deux congrus a 3 (mod 4) ; dans ce cas, 
les deux equations ont des solutions ou bien aucune des deux n'a de 
solution. 

La loi de reciprocite quadratique lie les symboles de Jacobi (m | n) et 
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On verifie alors simplement que les expressions sont encore vraies pour 
I'indice i+2. Or, elles sont vraies pour les indices 0 et 1. Par recurrence, 
elles sont done vraies pour tout indice i positif ou nul. 
Par la suite, on utilisera 6galement les relations suivantes. Leur 
demonstration est triviale. 

vf-AMf=4.P' 

Pour doubler I'indice, 

«2./ = v/ ; = vf - 2.P' 
Pour retrancher un a I'indice, 

M/_l = {Sm, - V, ) / 2.P et v,_i = (5.V, - A.m,- ) / 2.P 
Pour ajouter un a I'indice, 

«,+! = (5.M, + V/) / 2 et v,+, = {S.Vi + A.«,- ) / 2 
Par ailleurs, les racines a et s'expriment facilement en fonction de 
S=a + p etdeVA=a-j3. 

a = (5 + VA)/2 et )3 = (5-VA)/2 
Les expressions de « et v. en fonction des racines a et y3 s'ecrivent encore : 



U: = 



2.Va 



2.Va 



et V/ = 



Developpons les polynomes (5 + VA)2-*+» et (^-Va)^-^^' et combinons 
leurs developpements. 



cHll.52.A*-'+A* 



t=0 



cii;^5^A*-'+c2•* 



2.*+l 



.5.A* 



^2.(/:-/)+l W 
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C'est ainsi que Lucas a decouvert et etablit le theoreme suivant : 

Lorsque p est un nombre premier impair ne divisant ni P, ni 5, ni A, p 

divise w^-(A I p) et m^-^ I 

2. Quelques methodes pratiques de calcul 

2.I. Racines carrees dans CG(p) 

Lorsque c^"*^ (mod p) vaut +1, T equation x ^ c (mod p) a deux solutions 
dans le corps de Galois CG(p) ; ces deux solutions sont appelees « racines 
carrees de c (mod p) ». 

2.1.1. Cas oil p est congru a 3 (mod 4) 
Selon le critere d'Euler, on a : 

^(P-i)/2 =j (j^^j cequidonne, c^^"^^^^^ =c (mod p). 
Lorsque le nombre premier p est congru a 3 (mod 4), le nombre (p4-l)/4 est 
un entier ; par consequent, les deux racines carrees de c dans CG(p) sont 
alors ±c^P^^^^'^ (modp). 

2.1.2. Cas ou p est congru a 1 (mod 4) 

Lorsque p est congru a 1 (mod 4), on utilise les suites de Lucas pour 
calculer une racine carree de c (mod p). On affecte la valeur c au parametre 
P. Puis, on cherche une valeur du parametre 5 telle que le discriminant 
A = 5^ - 4.C soit un residu non quadratique (mod /?). On procede par essais 
successifs. En pratique, on part de 5 = 1, puis, on fait croitre la valeur de S, 
Lorsque A est un residu non quadratique par rapport a un nombre premier p 
impair ne divisant ni c, ni 5, ni A, les suites de Lucas pour les indices et 
p+2 sur le corps CG(p) sont dans I'etat initial multiplie par c. 
Or, on connait les relations suivantes : vf - A.wf = 4.P' et M2.i = ^i-^i 
En d'autres termes, p divise alors m^, qui est egal au produit de u^^^^ par 
V»)/2- Par consequent, p divise alors m^^^,,,^ ou v^^^^. En fait, p ne peut 
diviser v^^^^^ ; il divise done M^^„^. 

On obtient done, "^Ip+X) 1 2 - ^■c^''^^^' ^ (mod p) 

Or, c^P'^^^''^ = c (mod/7) 



Par consequent, le nombre : x^-v^^^^^,^ (mod est alors une 

solution a 1' equation : =c (mod p). 

Les relations suivantes sont utilisees pour calculer les suites {U} et [ V] 
ensemble. 

Pour doubler Pindice, mj./ = «/ V2., = vf - 2.c' 
Pour ajouter 1 k I'indice, = (Sm^ + v,- )/2; v,.,, = (A.«,. + 5.v,- )/2 

La procedure suivante utilise trois variables : x pour > pour v et z pour c'. 
L'indice cible est (p+l)/2 ; iLest code par une sequence de j bits. Cette 
sequence est examinee du bit de poids fort au bit de poids faible. 

1 . Donner a jc la valeur 0 ; donner a y la valeur 2 ; donner kz la valeur 1 . 

2. R6peter7 fois la sequence suivante. 

Remplacer x par x.y (mod p). 
Remplacer y par / - 2.z (mod p) 
Remplacer z par ^^(mod p). 

Si le j ieme bit codant l'indice cible vaut 1, executer la 
sequence suivante. 

Remplacer t par x. 

Remplacer x par (S.t + y)/2 (mod p). 

Remplacer y par (S.t + A.y)/2 (mod p) 

Remplacer z par z c (mod p). 

3 . Remplacer y par y/2 (mod p). Le resultat cherche est y. 
2.2. Algorithme d'EucIide 

L'algorithme d'Euclide opere la division des entiers. Soient deux entiers 
positifs xety tels que x soit plus grand que y. Divisons ;c par y pour obtenir 
un quotient g positif et plus petit que ou egal a ;c et un reste r positif ou nul 
et plus petit que y. 

Soit, 0 < 3; < jc 
Par consequent, x = q.y + r avec 0<q<x et 0<r<y 
2.2.1. Coefncients de Bezout et pgcd 
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Par definition, les coefficients de Bezout de deux entiers positifs xcty sont 
deux entiers kctl definis de maniere unique par : 

0<k<y, 0<l<x et k.x-Ly = ±pgcd(x, y) 
Par divisions successives, ralgorithme d'Euclide permet de calculer 
efficacement les coefficients de Bezout et le plus grand commun diviseur 
de deux entiers positifs, 

A partir des valeurs initiales = x ct = y, considerons les divisions 
successives : 

Co=^i.Ci + C2; Cj =^2-^2+^3; - 
jusqu* a : Q_i = ^^.C^ + ou C^^+j = 0. 
Les restes successifs forment la suite {C} qui est ainsi definie pour les 
indices / allant de 0 a L+1. 

Les quotients successifs forment la suite {q} qui est ainsi definie pour les 
indices / allant de 1 ^ L. 

La suite [C] pent encore se definir de la maniere suivante. 

{C}= {Cq=x; Cj = 3;; puis, pour / allant de 1 a L, = C^_i -q^ .Q } 

=> La suite {C} est strictement decroissante de jusqu'a C^^, qui est nul. 

Definissons maintenant deux autres suites appelees {A} et {fi}. 

{a}= {Aq=1\ Aj = 0; puis, pour / allant de 1 a L, Ay+i = A^^i + q^ } 
{b}- {Bq=0\ = 1; puis, pour i allant de I a L, Bi^i = Bi__i -h q^ .B^ } 

Les premiers termes de la suite [A] sont 

A,= 1,A, = 0,A,= 1,A3 = ^^,A,= 1 +^,.^3, ... 

^ La suite {A} est strictement croissante de A3 a A^^,. 

Les premiers termes suivants de la suite {B] sont 

=> La suite {B} est strictement croissante de B^ a fi^,. 

En eliminant q. entre les definitions des suites [A] et { C}, nous obtenons : 

A-Q+i + A+i.Q = A,_i.C,- 4- A,-.Q_j 
Par consequent, la valeur de A^-.Q^j + A^-^j.Q est constante pour / allant de' 
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OaL. 

Puisque i4o.Ci + Aj.Cq = 3^, nous obtenons : A^+j Cj^ = 3;, 
Et, de la meme maniere, -^l — ^^ 

Par ailleurs, remarquons les egalites : x.Aq -y.BQ =x = (-l)°.Co 

x.A^-y.B^=-y = {-V)\C^ 
Supposons la relation vraie pour les indices i-l et i ; puis, verifions qu'elle 
est encore vraie pour I'indice /+1 . 

= (X. A_i - yA-i ) + qi XxA - y-Bi ) = (-1)'-' .(C,_, - ^, r, ) = .q. 

Par recurrence, pour / allant de 1 ^ L, - y.Bi = (-l)' .C/ 

En particulier, on obtient finalement : xA^ - y.Bj^ = (-l)^.Q 
Les coefficients de Bezout de jc et > sont egaux h. et 5^. 
Le plus grand commun diviseur dexcty est egal k C . 
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11 =L 


3 701 =A^ 


23 320 = 


i = c. 
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12 


10 103 =y 


63 359= a: 


0 





Les calculs sont plus simples que les explications. 
23 320 . 10 103 235 601 960 3 701 . 63 659 = 235 601 959 

23 320 . 10 103 - 3 701 . 63 659 = 1 

2.2.2. Inversion (mod n) 

L'algorithme d'Euclide calcule aussi T inverse (mod x). Lorsque y est 
positif, que x est plus grand que y et que x ct y sont premiers entre eux, 
c'est-k-dire, Q=pgcd(x, y) = 1, les notations « y- (mod jc) » et « l/y 
(mod x) » ont un sens. Bien entendu, la suite [A] est alors inutile. 

Lorsque L est impair, I'inverse de y (mod jc) est egal a 5^. 

Lorsque L est pair, I'inverse de y (mod jc) est egal a jc — B^. 

Dans Texemple ci-dessus, 23 320 est I'inverse de 10 103 (mod 63 659). 

2.2.3. Methode des restes chinois 

Lorsque jc et y sont deux entiers positifs premiers entre eux, les calculs 
suivants transforment une representation a une composante (mod x.y) en 
une representation a deux composantes (mod jc) et (mod y). 

= a^^ (mod jc) et a . = a^^, (mod y) 
Voyons maintenant comment realiser I'operation inverse, c'est-a-dire, 
comment calculer la representation a une composante (mod x.y) connaissant 
la representation a deux composantes (mod jc) et (mod y). La technique 
decrite ci-dessous est connue comme la « methode des restes chinois. » 
Supposons X plus grand que y. Tout d'abord, reduisons jc (mod y), puis, 
inversons le resultat (mod y). Ce calcul est generalement fait a Tavance et 
le nombre A est stocke dans le dispositif de calcul. Le nombre A est un 
« param&tre des restes chinois. » 

A = {a: (mod >')}-* (mod y) 
Ensuite, reduisons la composante (mod y). 
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a'^ = a^(mody) 

Le r^sultat cherch6 s'obtient alors par Tune des deux formules suivantes. 
Lorsque est sup6rieur ou dgal ha'^, 

(a, - a\) (mod y)].X'\-a^ 

Lorsque est inferieur a a'^, 

a^^ = { A . (a^ + 3/ -a\) (mod y)}.x + a 
23. Calcul du symbole de Jacobi 

Le calcul du symbole de Jacobi d'un entier positif k par rapport a un entier 
positif impair n plus grand que k se d6roule selon la procedure suivante qui 
utilise cinq variables appelee x, y, z, e et /. Cette procedure n'utilise pas la 
decomposition de n en facteurs premiers. 

• La variable x est positive et impaire, strictement decroissante a partir 
de la valeur initiate n. 

• La variable y est positive et inferieure k x, strictement decroissante k 
partir de la valeur initiate k. 

• La variable z est positive, impaire et inferieure k y. 

• La variable e est I'exposant du facteur 2 extrait de y. Seule sa parite 
doit 8tre evaluee. 

• La variable / vaut +1 ou -1 en partant de la valeur initiale +1 . 
Calcul pratique de (k | n) avec k positif et n impair et plus grand que k 

1. Donner a ;c la valeur n ; donner k y la valeur. A; ; donner k 7 la 
valeur +1. 

2. Decomposer y en z.2' oil z est impair et positif et e positif ou nul. 

Cy U) = (z. r I ;c) = (2 I jc) . (2 U)' . 
=> Si e est impair et si x = 3 ou 5 (mod 8), changer le signe de /. 

3. Appliquer la loi de rdciprocite quadratique sur z et a: qui sont 
tous deux impairs. 

(z U) = (x I z).(-lf"<-"'^ 
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Si Jc et z = 3 (mod 4), changer le signe de 7. 

4. Reduire x qui est toujours plus grand que z. 

Remplacer y par x (mod z). 
=^ Remplacer jc par z. 

5. Si X est plus grand que 1, revenir a Tetape 2. 

Si JC est egal a 1, alors le symbole de Jacobi vaut J et les deux 
nombres /: et n sont premiers entre eux. 

Si X est nul, alors le symbole de Jacobi est nul et le pgcd de k et 
n est egal ^ z. 

Exemple. Calculer (10 103 | 63 659), c'est-a-dire, (2777 I F8>^) en 
notation hexadecimale. 

On retrouve les divisions successives de Talgorithme d'Euclide et le calcul 
du pgcd. Le decalage de ligne materialise T extraction du facteur 2. Le 
symbole « * » materialise le changement de signe de 7. 
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Par consequent, (10 103 | 63 659) = -1. 
2.4. Carr^ et radne carree dans 

Dans ce paragraphe, le module n est le produit de deux facteurs premiers 
et congrus k 3 (mod 4). Dans ce cas, (p.+l)/4 et (p,+l)/4 sont des 
nombres entiers. 

D^fmissons la notation « (mod* n) ». Cette operation consiste h. calculer 
normalement le r^sultat x (mod «), puis, a garder x ou n-x, le plus petit des 
deux, comme r^sultat final. 

Lorsque le module n est le produit de deux facteurs premiers et 
congrus ^ 3 (mod 4), definissons la notation « ». C'est I'ensemble des 
Elements de 1' anneau des entiers (mod «) qui sont plus petits que n/2 et dont 
le symbole de Jacobi par rapport k n vaut +1. L'ensemble Q, a une structure 
d'anneau. 

Considerons une premiere ti-ansformation definie par « clever un 616ment x 
de au carr^ (mod* n) ». Le resultat y appartient 6galement a Q„. 

y = x^ (mod*«) 

Considerons une deuxieme transformation definie par « 61ever 3; a la 
puissance (p,+l)/4 (mod », puis. « elever y k la puissance (p,+l)/4 
(mod/7,) », avant d'utiliser la methode des restes chinois pour etablir le 
resultat z (mod* n). Lorsque p. est plus petit que p^, les calculs sont ti-es 
precisdment les suivants. 

y2^y (mod p2); Z2 ^ >;^''2+i)/4 ^^^^ 
z' =Z2 (modpi); Si zi>z', z"=zi-z'; Sinon, z"=Zi+Pi-z' 
As{p2 (mod /?,)}"' (modpi); 
^1.2 = i^-z" (mod p, )}.p2 + Z2 ; z = Z12 (mod * n) 
Ces deux transfomiations sont inverses I'une de I'autre. Leur produit est 
r identit6 parce que le resultat z r6tablit le nombre x de depart. Ce sont deux 
permutations, inverses I'une de I'autre, des elements de Q . 
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La premiere permutation calcule « le carre y dans Q„ de I'element x de 
Q„ »• 

La deuxieme transformation calcule done « la racine carree x dans de 
Telement y de ». 

Par la suite, on aura besoin de la « k ieme racine carree de y dans Q^, » 
c'est-a-dire, de la solution x dans Q„ a T equation : 

y^x (mod * n) 

PlutSt que d'extraire k racines carrees de rang dans Q„, il vaut mieux 
proceder « globalement » de la maniere suivante. Cette remarque fut faite 
en son temps par Oded Goldreich. 

yx^y (mod px ); z = {p\ -i-l)/4; r = (mod -1); xj = y{ (mod pi) 
y2^y{modp2)\ z = (/?2+l)/4; t = {mod P2 -\)\ ^ >'2 (mod /?2 ) 
jc' =X2 (mod/?]); Si xx>x\ a:"=Xj-jc'; Sinon, j:"= jcj + pi — jc' 
A = {/72 (mod/?i)}"^ (modpi); 
xi 2={A.;c" (mod ;?i)}p2+^2; ^-^1,2 (niod*n) 
2.5. Nombres de Williams et racine carree de 4 dans Q 
Hugh C. Williams a decouvert Tinteret cryptographique des modules n, 
produits de deux facteurs premiers p^ et ^^Is que /?, soit congm a 3 (mod 
8)etp2a7 (mod 8). 

Lorsque le module n est le produit de deux facteurs premiers /?, et p^ tels 
que p, soit congni a 3 (mod 8) et/?^ a 7 (mod 8), on obtient (2 1 p^) = — 1 et 
(2 1 = +1, c*est-a-dire que 2 est un residu non quadratique (mod p^) et 
un residu quadratique (miod p^ ; done, ni 2 (mod «), ni -2 (mod ri) 
n'appartiennent a Q^. 

Par la suite, a denotera la racine carree de 4 dans Q„. Cette racine est 
representee par les composantes : a, = -2 (mod p,) et aj^2(mod p^ ou 
bien par 0^=2 (mod p,) et -2 (mod p^) ; c'est I'element dont la 
representation (mod ri) est plus petite que /i/2. 
II y a alors equivalence entre 
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la connaissance du nombre a et 
la connaissance de la factorisation du module n. 
Demonstration. 

D*une part, etant donn^ a, le module n divise o^-4 ; mais le symbole de 
Jacobi de a par rapport a n vaut +1 alors que celui de 2 vaut -1 ; le module 
n ne divise done ni a-2, ni a+2. Par consequent, le facteur premier est le 
plus grand commun diviseur de n et a-2 ; le facteur premier /?, est le plus 
grand commun diviseur de n et a+2. 

D' autre part, etant donnes les facteurs premiers et p^, la racine carree de 
4 dans est representee par les composantes : a, = -2 (mod et = 2 
(mod pj), ou bien, a, s 2 (mod p,) et = -2 (modp^). Selon les restes 
chinois, on reconstmit a. 

Shafi Goldwasser, Silvio Micali et Ronald Rivest ont introduit la paire de 
fonctions {F^,; F,} sur Q^. 

F^(x) = jc' (mod* n) et F,(jc) = 4jc' (mod* n) 
Cette paire de fonctions permute les elements de Q^. 

Une « collision » est defmie par deux elements jc et de tels que Fq(x) = 
FjCy). Connaitre une collision equivaut a connaitre les facteurs premiers du 
module n. La demonstration est semblable ^ la demonstration ci-dessus. Par 
consequent, cette paire de permutations resiste aux collisions pour qui ne 
connait pas les facteurs premiers et p^ du module n. 

Nous disposons done de tous les ingredients necessaires a une 
demonstration de la connaissance de la factorisation d'un module public n 
sans en transferer la connaissance, 
3. Charges de travail 

La charge de travail pour « elever jc a la puissance v ieme (mod n) » depend 
de la valeur et de la forme binaire de Texposant v, de la taille de 1' argument 
X et de la taille du module n. Dans le cadre de ce memoire, Texposant v est 
plus petit que le plus petit facteur premier du module n. 
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L'utilisation des facteurs premiers p^, p^, .„ d'un module n diminue la 
charge de travail pour calculer (mod n). Plutot que T operation directe 
« elever jc a la puissance v ieme (mod n) », on peut avantageusement elever 
a: a la puissance v ieme dans chacun des corps CG(p,), CG(p^), ... c'est-a- 
dire, (mod /?,), (mod p^), ... puis, etablir le resultat dans Tanneau Z^, c'est-a- 
dire, (mod n = fois p^ fois ...). Cette maniere de proceder est appelee la 
« methode des restes chinois. >> 
3.1. Multiplication et carre (mod n) 

En pratique, avec des programmes optimises, le rapport entre la charge de 
travail pour un « carre modulo » et la charge de travail pour une 
« multiplication modulo » est environ 0,75. Par exemple, sur le composant 
ST 16601 pour carte a puce, avec une horloge normalisee a 3,579545 MHz, 
le carre modulo pour 512 bits se fait en 150 ms et la multiplication modulo 
en 200 ms. 

Pour effectuer une operation « multiplication modulo », on peut multiplier, 
puis, reduire : T operation de multiplication demande a peu pres autant 
d' effort que T operation de reduction modulo. 

La multiplication de deux nombres de 512 bits peut se ramener a des 
multiplications de nombres de 256 bits. Chaque nombre de 512 bits s'ecrit 
alors a+fc.2^^* ou et Z; sont des nombres de 256 bits. La multiplication de 
par cW.2"^ amene a calculer les quatre produits a.c, a,d, b.c et b.d. 
En doublant la longueur, on multiplie par quatre la charge de travail pour 
multiplier. Le carre Ac amene k calculer les deux carres a, b^ et le 

produit a.b. En doublant la longueur, on multiplie par trois la charge de 
travail pour elever au carre. 

De meme, la multiplication de deux nombres de 512 bits^eiit se ramener a 
des multiplications de nombres de 171 bits. Chaque nombre de 512 bits 
s'ecrit alors a+2*^\Z7+2^'*^.c ou a, b ci c sont des nombres de 171 bits. La 
multiplication de a+2'^'.Z7+2^''lc par ^+2''^e^-2^'*^/am&ne a calculer neuf. En 
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doublant la longueur, on multiplie par neuf la charge de travail pour 
multiplier. Le carre de <3+2'^^^>+2^^c amene a calculer trois carres et trois 
produits. En doublant la longueur, on multiplie par six la charge de travail 
pour elever au carre. 

3.2. Elever x a la puissance v ieme (mod n) 

Prenons en exemple la valeur v = 3, puis, la valeur v = 65537. 

Pour V = 3, c'est-a-dire, 2+1, il faut elever T argument au carre (mod n), 

puis, multiplier le resultat pari' argument (mod n). 

Pour V = 65 537, c'est-a-dire, 2'Vl, il faut elever Targument au carre 
(modn) seize fois de rang, puis, multiplier le resultat par T argument 
(mod n). 

Dans le cadre de ce memoire, I'exposant v est plus petit que le plus petit 
facteur premier du module «. II n'y a done pas done de reduction de 
Texposant v en fonction des differents facteurs premiers du module n. Par 
rapport au calcul direct de « elever x a la puissance v ieme (mod «) » ou 
r argument x et le module n ont la meme taille, la methode des restes 
chinois divise la charge de travail 

- par deux lorsque le module n a deux facteurs premiers et de meme 
taille, 

- par trois lorsque le module n a trois facteurs premiers p^ et p^ de mSme 
taille, 

et ainsi de suite. 

On peut generaliser la methode precedente ; ainsi, la procedure suivante 
calcule jc'' (mod n) pour un exposant v = 2' +v/_|.2^"^ + ... vi.2 + vo o\x 
chaque bit de v.-j a vaut 0 ou 1 . 

1 . Donner a y la valeur jc. 

2. Repeter la sequence suivante pour k allant de /—I a 0. 

Remplacer y par (mod ri). 

Si le bit vaut 1, remplacer y par x.y (mod ri). 
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3. Le resultat cherche est y. 
Selon la procedure precedente, le calcul peut se faire par log^Cv) carres 
(mod n) entrelaces avec h(v) multiplications (mod n). La notation h(v) 
represente un de moins que le poids de Hamming de v, c'est-^-dire, que 
Tecriture de v en binaire comporte h(v)+l bits a 1. 

Pour un module n de 512 bits, cela signifie log2(v) carres (mod n sur 512 
bits) et h(v) multiplications (mod n sur 512 bits). 

Pour un module n de 256 bits, cela signifie log^Cv) carres (mod n sur 256 
bits) et h(v) multiplications (mod n sur 256 bits). 

Pour un module « de 171 bits, cela signifie log^Cv) carres (mod n sur 171 
bits) et h(v) multiplications (mod n sur 171 bits). 

Deuxieme partie : nouveau precede 
1. Expose du nouveau precede 

Le procede est destine a prouver I'origine et I'integrite d'un message 

numerique m, lequel message peut etre vide. Ce procede permet 

Tauthentification d'entite, Tauthentification de message ou la signature de 

message. 

1.1. Parametres 

Le procede met en oeuvre un premier ensemble de nombres entiers, a savoir 
au moins deux facteurs premiers notes par ^ Certains facteurs 

premiers peuvent apparaitre plusieurs fois. Le produit des facteurs premiers 
forme un module public n- • (• •••)* 

un jeu de « parametres des restes chinois » notes. \ .... II y a un 
parametre de moins que de facteurs premiers. 

Attention, il y a plusieurs jeux de parametres « equivalents. » Supposons 
que 

les grands nombres premiers sont ranges dans Tordre croissant, 

s'il y a trois nombres premiers, p^ est plus petit que fois p,, 

s'il y a quatre nombres premiers, p^ est plus petit que /?, fois p^ fois p^. 
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et ainsi de suite. 

Dans ce cas, void un exemple de jeu de parametres des restes chinois. 

K = (Pl (^od pi ))"^ (mod pi ) 
h =((P\'P2 (mod ps))"^ (mod P3) 
^c=((P\ P2'P3 (mod P4))"^ (mod /?4) 
Et ainsi de suite. 

Le precede met en oeuvre un deuxieme ensemble de nombres entiers, a 
savoir, au moins un exposant public de verification note par v, et, pour 
chaque exposant v, au moins une paire de cles selon la presente invention 
comprenant une cle privee notee par Q et une cle publique notee par G. Une 
des deux relations suivantes lie chaque paire de cles selon la presente 
invention par les nombres v et n. 

G^Q"" =1 (mod n) ou bien G = Q'' (mod /i) 

En r absence de toute ambiguite, en particulier, s'il y a un seul exposant 
public de verification v, on utilise la notation (G, Q), puis, si besoin est, 
(OA, QA\ (GB, QB\ (GC, QC\ ... 

Avec plusieurs exposants publics de verification vjc vy vz on utilise en 
outre la notation (Gx, Qx), (Gy, Qy), puis, si besoins est, (GjcA, QxA), 
{GxB, QxB\ ... {GyA, QyA), {GyB, QyB), ... 

En pratique, chaque cle privee Q n'est jamais utilisee telle quelle* 

On utilise uniquement un jeu de composantes une 
composante par facteur premier. 

Si = Q (mod Pl); Q2=Q (mod P2)\ Qs^Q (mod ^3); 

et ainsi de suite. 

Par la methode des restes chinois, on pourrait retablir chaque cle privee Q a 
partir du jeu de composantes 0, En pratique, il n'y a jamais lieu 

de retablir les cles privees Q, 

Qa -Ql (modpi); ; 

Si Qi>Qa. Qa=Qi-Qal Siuon, 2^ = ^1 + Pl " 2^ ; 
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Qb =Qh2 (mod/?3); 
Si Q3^Qb^ Qb^Qs'Qb'^ Sinon, qI =Q3 + Ps-Qb'. 
2i.2,3 = ^b Qb (n^<5d P2 ) jpi + Gi,2 ; 

Et ainsi de suite. Q est egal a (2i,2,3,... 
1.1.1. Paire de cles selon la presente invention conferant une securite 
equivalente a la connaissance de la cle privee Q 

Les composantes ... sont des nombres pris au hasard tels que 

0 < g| < 0 < gi <P2» 0 < 03 < P^y II y a une composante par facteur 
premier. En pratique, pour reduire la charge de travail, on choisit des 
composantes Q. « courtes », c'est-a-dire, de I'Drdre de grandeur de la 
racine troisieme ou quatrieme du facteur premier p.. 

Note. L' ensemble de ces composantes represente une cle privee Q. La cle 
privee Q n'est jamais utilisee telle quelle. 

Qa =22 (mod pi); ; 

Si Qi>Qa. Qa =Gi-Ga; Sinon, qI ^Qx + Pi-Qa^ 

Qui = K 'Qa (mod pi ) \p2 + Qi ; 
Qb =2i,2 (mod/73); 
Si Q3>Qb. Qb=Qz-Qb\ Sinon, Qt^Qz"^ P^-Qb^ 

2l.2.3 = W Qb (mod P3 ) ]pi .P2 + !2l.2 ; 

Et ainsi de suite. Q est egal a <2i,2.3.... 
La cle publique G est la puissance v ieme de Q (mod ri) ou bien son inverse 
(mod n). 

G^Q' (mod n) ou bien G= {Q' (mod «)}- (mod n) 

Note. En pratique, pour calculer le nombre G, on eleve chaque nombre Q, 
a la puissance v ieme (mod /?.), ... , puis, on utilise la methode des restes 
chinois pour etablir le resultat (mod ri) ou son inverse (mod n). 

G^^Ql (mod/7i); 
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Si G^>Ga. Ga=G^~G],\ Sinon, =Gi+/7i"G;,; 
G\.2^^a'Ga (mod Pi)\p2+G2\ Gt =Gi,2 (modp3); 

G3 =23 (modp3) 
Si G3 >G^, G^ =G2-Gi^\ Sinon, G^ =G3 + /?3 -G^,; 

<-^i,2,3 -t^^*^^ (mod P3)]pi -P2+<^1,2; 
Et ainsi de suite. G est egal a G| 2,3,... ou bien, a son inverse (mod «). 
Lorsque le nombre entier v est premier, on assure la propriete de securite 
annoncee. 

1.1.2. Paire de cles selon la presente invention conferant une securite 
equivalente a la connaissance de la factorisation de n 

L'exposant public de verification v est egal a 2\ Le nombre entier k est un 
parametre de securite plus grand que 1. La valeur A: = 1 est interdite. 
Chaque nombre g est un entier inferieur au plus petit facteur premier. En 
outre, pour au moins un facteur premier p, T equation = g (mod p) n'a pas 
de solution en x dans CG(p) et pour au moins un facteur g 1' equation x^ = 
-g (mod ^) n'a pas de solution en x dans CG(^). Cette construction assure 
que les deux equations x^ ^ g (modn) et x^ = -g (mod n) n'ont pas de 
solution en x dans Tanneau des entiers modulo n, c'est-a-dire que les 
nombres g et ~g sont deux residus non quadratiques (mod n). 
Note. En pratique, on utilise pour g les nombres 2, 3, 5, 6, ... en eliminant 
bien sur les carres tels que 4, 9, ... 

Note. II n'est pas reconmiande d'utiliser 6 comme nombre de base en 
meme temps que 2 et 3 parce qu'ils se combinent par multiplication. On dit 
qu'ils ne sont pas « independants. » II vaut mieux utiliser 2 et 3 comme 
nombres de base et retrouver 6 comme le produit de 2 et 3. 

Pour chaque nombre g, la cle publique G est egale a g^. 
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Pour chaque nombre gy chaque composante 0, ... est la k ieme 

racine carree de G dans CGO) qui est un residu quadratique dans CG(p). II 
y a une composante par facteur premier. 

Exemple de calcul de la k ieme racine carree quadratique de G dans CG(p) 
On pourra utilement consul ter Tappendice 3, « Quadratic Residues », pp. 
278-288, dans Touvrage « Prime Numbers and Computer Methods for 
Factorization », Hans Riesel, Birkhauser, Boston, Basel, Stuttgart, 1985. 
Pour chaque facteur premier p congru a 3 (mod 4), on eleve k fois de rang 
G a la puissance (p+l)/4 pour obtenir la k ieme racine carree quadratique de 
G dans le corps CG(p) ; puis, on inverse ou non le resuitat (mod p) pour 
obtenir la composante Q. pour le facteur premier p.. 

Note. Plutot que d'extraire k racines carrees successivement, on peut 
proceder de maniere globale. 

;c = (p + l)/4; y = (mod p-1); z = p -1- y; Qp^G"" (mod/?); 
par consequent, pdivise G.Qp -1. 

ou bien, 

x = (p + l)/4; y = jc^ (modp-1); z = y; Qp^G"^ (mod p); 
par consequent, pdivise Qp -G. 
Pour chaque facteur premier p congru a 1 (mod 4), on utilise les suites de 
Lucas pour extraire les racines carrees successives, jusqu'a obtenir la k 
ieme racine carree de G dans le corps CG(p), avant d'inverser ou non le 
r6sultat (mod p) pour obtenir la composante Q. pour le facteur premier p.. 

Par consequent, pdivise G.Qp -1 oubien, Qp -G. 
Les cles G et Q sont deux residus quadratiques (mod n). La paire de cl6s 
selon la presente invention verifie Tune des deux relations suivantes. 
G.Q =1 (mod n) oubien, Q =G (mod n) 

Par consequent, dans Tanneau des entiers modulo n, le A:-l ieme carre de 
chaque cle privee Q ou son inverse (mod n) est une racine carree non 
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triviale de la cle publique G = Appelons q cette racine carree de G (mod 
n) qui n'est ni ^ ni -g. Par consequent, n qui divise q^-g^ ne divise ni q-g ni 
g+g. Ainsi, le module n se scinde en deux facteurs non triviaux : le pgcd de 
n et de q-g et le pgcd de n et de q-{-g. Par consequent, pour n'importe quelle 
cle priv6e Q, la connaissance de n'importe laquelle des k valeurs {Q, Q^, 
Q\ ... jusqu'au k-l ieme carre de Q (mod n)} revele une factorisation 
non triviale du module n. 

Contraintes induites par les nombres de base sur les facteurs premiers 

On pent utilement consulter le chapitre 3, « Quadratic Residues », pp. 35- 
46, dans Touvrage « Introduction to Number Theory », Hua Loo Keng, 
Springer Veriag, Beriin, Heidelberg, 1982. 

❖ (2 [ /?) = +1 lorsque p est congru a ±1 (mod 8). 
(2 I /?) = "1 lorsque p est congru a ±3 (mod 8). 

Pour utiliser g = 2, c'est-i-dire, la cle publique G = 4, il suffit qu'un 

facteur premier soit congru a ±3 (mod 8). Alors, le nombre 2 est un 

residu non quadratique modulo n. 

(3 I p) = +1 lorsque p est congru a ±1 (mod 12). 

(3 \ p) = -l lorsque p est congru a ±5 (mod 12). 

Pour utiliser g = 3, c*est-a-dire, la cle publique G = 9, il suffit qu'un 
facteur premier soit congru a ±5 (mod 12). Alors, le nombre 3 est un 
residu non quadratique modulo /i. 

❖ Le nombre g = 4 est un carre ; il n'est done pas utilise. 
(5 I /?) = +! lorsque p est congru a ±1 (mod 5). 

(5 I p) = -1 lorsque p est congru a ±2 (mod 5). 

Pour utiliser g = 5, c'est-a-dire, la cle publique G = 25, il suffit qu'un 
facteur premier soit congru a ±2 (mod 5). Alors, le nombre 5 est un 
residu non quadratique modulo n. 

❖ (6 I /?) = +1 lorsque p est congru a ±1 ou ±5 (mod 24). 
(6 I p) = -1 lorsque p est congru a ±7 ou ±1 1 (mod 24). 
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Pour utiliser g = 6, c'est-k-dire, la cle publique G = 36, il suffit qu'un 

facteur premier soit congru k ±7 ou ±1 1 (mod 24). Alors, le nombre 6 

est un r6sidu non quadratique modulo n. 

(7 I p) = +1 lorsque p est congru a ±1, ±3 ou ±9 (mod 28). 

(7 I p) = —1 lorsque p est congru a ±5, ±1 1 ou ±13 (mod 28). 

Pour utiliser g = 7, c'est-a-dire, la cle publique G = 49, il suffit qu'un 

facteur premier soit congru k ±2 (mod 5). Alors, le nombre 7 est un 

residu non quadratique modulo n. 
Note. Tous les temoins peuvent utiliser le meme jeu de cles publiques GA, 
GB, GC, GD^ ... , par exemple, 4, 9, 25 et 49, moyennant des contraintes 
61ementaires sur la selection des facteurs premiers. Ces contraintes sont 
pratiquement gratuites lorsqu'elles sont integrees aux procedures de 
production des facteurs premiers. 
I.I.3. Generalisation de la structure precedente 

Le nombre a est un nombre impair. II doit diviser au moins un facteur 
premier moins un. 

Note. En pratique, on donne au nombre a les valeurs des nombres premiers 
a partirde 3, soit : 3, 5, 7, 11, ... 

L'exposant public de verification v est egal a a. Le nombre entier k est un 
parametre de s6curite plus grand que 1 . La valeur fc = 1 est interdite. 
Chaque nombre g est un entier inferieur au plus petit facteur premier. En 
outre, pour au moins un facteur premier p tel que a divise p—l, 1' equation jc" 
= g (mod /?) n*a pas de racine en x dans CG(p). 

Note. Cette construction generalise les residus non quadratiques (mod n). 
Par exemple, dans le cas a = 3, on dit que le nombre g est un residu non 
cubique (mod n). Dans le cas general, on parle de residu non a dique (mod 
n). 

Note. En pratique, on donne au nombre g les valeurs 2, 3, 4, 5, ... en 
eliminant les puissances a iemes. 
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Pour chaque nombre g, la cl6 publique G est 6gale a g\ 
Pour chaque nombre chaque composante ... est la k ieme 

racine a ifeme de G dans CG(p) qui est un residu a dique dans CG(p), II y a 
une composante par facteur premier. 

Exemple de calcul de la k ifeme racine troisifeme de G dans CG(p) qui est un 
residu cubique dans CG(p). 

Pour chaque facteur premier p congru a 2 (mod 3), on eleve k fois de rang 
G a la puissance (p-2)/3 pour obtenir la k ieme racine a ieme de G dans le 
corps CG(p) ; puis, on inverse ou non le resultat (mod p) pour obtenir la 
composante Q. pour le facteur premier p.. 

Note. On pent proceder de maniere globale pour acceder directement au 
resultat cherche. 

x = (p-2)/3; y^x^ (mod/?-l); z^y; Qp=G^ (mod p); 
par consequent, pdivise Qp^ — G. 
x = (/?-2)/3; y-x^ (modp-1); z^p-l-y; Qp^G"" (mod p); 
par consequent, pdivise CQj, -1. 
Pour chaque facteur premier p congru a 1 (mod 3), 

pdivise G.gJ -1 ou bien Gp" -G. 

1.2. Entites 

Le precede met en ceuvre les trois entites suivantes. 

Une premiere entite temoigne ; c'est le temoin. II dispose d'un exposant 
public de verification v = 2*. En fonction des compromis retenus entre 
charge de travail et volume de donnees a stocker, le temoin stocke encore 
d*autres nombres : 

- ou bien les j facteurs premiers p^ p^ ... et les / cles publiques GA 
GB ... ; a chaque appel, le t6moin doit alors reconsdtuer les / cles 
privees QA QB ... selon le parametre k a partir des / cles publiques 
GA GB ... et desy facteurs premiers p^ p^ P^ ; 
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- ou bien, le module n et les 1 cles priv6es QA QB ... ; le temoin ne fait . 
alors appel ni aux facteurs premiers ni aux restes chinois ; 

- ou bien un ensemble de 7.(Z-i-2)-l nombres prives de tallies voisines 
pour utiliser les facteurs premiers et les restes chinois : 

- 7 facteurs premiers p, Pz 

- j-\ parametres des restes chinois \ 

- jd composantes de cles privees : QA^ QA^ ... QB^ QB^ ... 
Une deuxieme entite pilote le temoin ; c'est le pilote. II dispose d'un 
certificat Cert(/<i, n) liant le module n a une identite Id. II connait un 
message m. S'il s'agit d'une authentification dynamique, c'est-a-dire, d'une 
preuve interactive de connaissance, 11 est encore appele demonstrateur. En 
cas d' authentification d' entite, le demonstrateur n'a pratiquement rien a 
faire. En cas d' authentification de message, le demonstrateur dispose d'une 
fonction de hachage f. S'il s'agit d'une signature numerique de message, 
c'est-k-dire, d'une preuve non interactive de connaissance, le pilote est 
encore appele signataire ; le signataire dispose de Texposant public de 
verification v et d'une fonction de hachage f. 

Une troisieme entite verifie ; c'est le controleur. Selon le cas, le controleur 
verifie 1' authentification ou la signature ; il dispose d'un module public N 
pour ouvrir les certificats afm d'etablir une identite /J et un module «, de 
I'exposant public de verification v = 2\ des / cles publiques GA, GB, ... et 
de la fonction de hachage f. 

Note. Chaque jeu de composantes ... represente une cle privee 

Q. Chaque paire de cles selon la presente invention est liee aux nombres v 
et n par Tune des deux relations suivantes. 

G.Q^ ^\ (mod n) oubien G = Q"" (mod n) 
En termes de charge de travail du temoin, la solution optimale consiste a 
utiliser les facteurs premiers, les parametres des restes chinois et les 
composantes des cles privees. Chaque cle privee Q est construite, puis. 
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stockee et utilisee sous la forme de composantes, Q^Q^ ... une composante 
par facteur premier, Les cles privees Q n'apparaissent alors jamais 

et le temoin utilise pas non plus les cles publiques G. 
En termes de charge de travail du controleur, la solution optimale consiste a 
utiliser pour G une valeur qui soit la plus petite possible, Les valeurs sur un 
seul quartet ou un seul octet sont particulierement conseillees. En pratique, 
on utilise pour^a gb ... les premiers nombres premiers : 2, 3, 5, 7, 11, .... 
Dans la presentation qui suit le temoin utilise les facteurs premiers et les 
restes chinois. Le temoin pent s'en abstenir, ce qui affecte simplement et 
seulement les actions du temoin. Le protocole GQ2 deroule les etapes 
suivantes permettant au controleur de verifier I'origine et Tintegrite d'un 
message m, 

- L'authentification dynamique est une preuve interactive. 

- La signature numerique est une preuve non interactive. 
1.3. Etapes 

Le procede comporte les etapes suivantes. 
Etape J. Engagement du temoin 

• A chaque appel, pour chaque exposant public de verification vx vy vz 

le temoin tire au hasard et en prive au moins un jeu de nombres entiers : 
pour chaque facteur premier p., chaque jeu comporte un nombre entier r. 
positif et plus petit que p.. Ces nombres entiers sont ensuite appeles les 
aleasr, ... 

0</i<pi; 0<r2<P2; OKr^Kpy, 

• Pour chaque exposant public de verification vjc vy vz .... et pour chaque 
facteur premier p., le temoin eleve chaque alea r a la puissance v ieme (mod 

i?i = rj^ (mod pi); R2 - r^' (mod P2); R3 = (mod P3); ... 

• Puis, le temoin etablit chaque engagement R (mod n) selon la methode 
des restes chinois. 
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R^' =/?2 (modpi); 
Si Rx>Ra\ Ra^R\-Ra \ Sinon/ /^i + - 
/?i 2 ={A^./?a" (mod pOIpi +/?2; =^1,2 (niod p^)\ 
Si /?3 > Rb = R3-^b'^ Sinon, i?^ = /?3 + p^-Rb^ 

^1,23 -K-^^ P3))P1-P2 + ^1.2; 

Et ainsi de suite. R est egal a R\x3 ... 
Pour chaque exposant public de verification vx vy vz il y a autant 
d'engagements/Cquedejeuxd'aleasr, 

Etape 2. Defi au temoin 
En cas d'authentification d'entite, 

le demonstrateur transmet tout ou partie de chaque engagement R au 
controleur ; 

apres avoir re^u tout ou partie de chaque engagement R, le controleur 
produit au moins une sequence de nombres de 0 a v-1 pris au hasard. 
En cas d'authentification de message, 

le demonstrateur applique une fonction de hachage f ayant comme 
arguments le message m et chaque engagement R pour obtenir un jeton 
T a transmettre au controleur, 
apres avoir refu le jeton T, le controleur produit au moins une sequence de 
nombres de 0 a v-1 pris au hasard. 
En cas de signature numerique de message, le signataire applique une 
fonction de hachage f ayant comme arguments le message m et chaque 
engagement R pour obtenir au moins une sequence de nombres de 0 a v-1. 
Dans les trois cas, pour chaque exposant public de verification vx vy vz 
chaque sequence comporte autant de nombres de 0 a v-1 qu'il y a de paires 
de cles selon la presente invention ; dans chaque sequence, les nombres 
sont notes par JA, dB, ... Chaque sequence de nombres de 0 k v-1 est 
ensuite appelee defi d. Pour chaque exposant public de verification vx vy 
vz il y a autant de defis d que d' engagements R, 



89 



Etape 3. Reponse du temoin au def! 

• Pour chaque exposant public de verification vx vy vz pour cheque 
facteur premier p., le temoin calcule 

la puissance dA ihrnt, de la composante QA. (mod 
la puissance dB ieme de la composante QB. (mod p.), 

le produit des r6sultats precedents par I'alea r, (mod p) ; 
A = n-Q^ QBf.., (mod pi); D2 ^ r2.QAf.QBf... (mod P2); 
D3 = r3.i2A3^.eB|'^ ... (mod P3); 

• Puis, pour chaque exposant public de verification vx vy vz le temoin 
dtablit au moins une reponse D (mod «) selon la methode des restes chinois. 

Da =D2 (mod;?,); 
Si Di>D'a, Da=Di-D'a; Sinon, = A + Pi ; 
^1,2 -^a -Da (mod Pi))/?2+£>2; 

i 

=A.2 (mod/>3); 
Si D2>Dt. Db=D^-D],; Sinon, D^^D^^p^^D^; 

Dix3=W'^b (mod P3)jpi-/'2+A,2; 
Et ainsi de suite. D est egal a D| 2 3 

Pour chaque exposant public de verification vjc vy vz il y a autant de 
reponses D que de defis d. 

Note. Chaque appel au temoin se traduit a I'interface par autant de triplets 
{J?, d, D] que de jeux d'aleas r, ... Remarquons qu*en elevant la 

reponse Z> a la puissance v ieme (mod n), on doit retrouver 1' engagement R 
divise ou multiphe, selon T equation retenue pour lier les paires de cles 
selon la presente invention aux nombres v et n, par la puissance dA ieme de 
GA, la puissance dB ieme de GJJ, ... Par consequent, chaque triplet {/?, d, 
D] doit verifier Tune des deux relations suivantes. 

R^GA'^nB'^^, ... (mod/2); 
oubien RGA'^.GB'^^, ... =D^ (modn); 
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Etape 4. Donnees destinees au controleur 

En cas d'authentification d'entite ou de message, le demonstrateur transmet 
chaque reponse D au controleur. 

En cas de signature numerique de message, le signataire transmet un 
message signe au contr61eur. Le message signe comprend le message m, 
ainsi que : 

* chaque defi d ou chaque engagement R, 

* chaque reponse D. 

Etape 5. Verification exercee par le controleur 
Note. On aurait pu tester ici le symbole de Jacobi de chaque reponse, k 
condition d' avoir force le symbole de Talea a 1' etape 1. Cependant, il vaut 
mieux « laisser tomber les symboles ». II est bien plus economique 
d' accepter de perdre un bit de defi. 

Note. L'une des deux relations suivantes reconstruit un engagement note 
par/?'. 

i?'=(GA^.GB^^. (modAz); 
oubien /?* = Z)V(GA^^.G5'^^. ...) (mod n); 
En cas d'authentification d'entite, le controleur doit appliquer la formule 
appropriee pour reconstruire chaque engagement : aucun ne doit etre 
nul. Chaque engagement reconstmit R' doit reproduire I'integralite des 
donnees transmises a Tetape 2, c'est-a-dire, tout ou partie de chaque 
engagement R, Lorsque toutes les conditions sont remplies, 
r authentification d' entite est reussie. 

En cas d' authentification de message, le controleur doit appliquer la 
formule appropriee pour reconstruire chaque engagement R' : aucun ne doit 
etre nul. Puis, il doit appliquer la fonction de hachage f ayant comme 
arguments le message m et chaque engagement reconstruit R' pour 
reconstruire le jeton T\ Le jeton reconstruit T' doit etre identique au jeton T 
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de I'etape 2. Lorsque toutes les conditions sont remplies, rauthentification 
de message est reussie. 

En cas de signature numerique de message, selon le cas, 

• le contrSleur doit appliquer la fomiule appropriee pour reconstruire 
chaque engagement R' : aucun ne doit etre nul. Puis, il doit appliquer 
la fonction de hachage f ayant comme arguments le message m et 
chaque engagement reconstruit /?' pour reconstruire chaque defi d\ 
Chaque defi reconstruit d' doit etre identique au defi d figurant dans 
le message signe. Lorsque toutes les conditions sont remplies, la 
signature est correcte. 

• le contrSleur doit appliquer la fonction de hachage f ayant comme 
arguments le message m et chaque engagement R figurant dans le 
message signe pour reconstruire chaque defi d\ Puis, il doit 
appliquer la formule appropriee pour controler la coherence de 
chaque triplet {/?, d\ D}. Chaque triplet doit etre coherent. Lorsque 
toutes les conditions sont remplies, la signature numerique est 
correcte. 

2. Triplets 

Chaque appel au temoin se traduit par une collection de triplets a I'interface 
du temoin. Chaque triplet {R, d, D} comprend un engagement R, un defi d 
et une reponse D, II y a deux manieres de produire des triplets : une 
maniere de produire en prive et une maniere de produire en public. 

• Le temoin produit en prive selon la chronologic suivante : a chaque 
appel, il fixe d'abord un nouveau jeu d'al6as qu'il transforme en un 
engagement R, puis, il produit la reponse D a n'importe quel defi d 
deOa v-1. ^ . 

• N'importe qui peut produire en public selon la chronologic suivante : 
quel que soit le defi J de 0 a v-1, n'importe qui peut completer le 
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triplet k partir de n'importe quelle reponse D en etablissant 
r engagement R grSce aux nombres publics G, v et n. 
3. Tenailles 

Par definition, deux triplets sont « en tenaille » lorsqu'ils sont constitues 
des deux reponses D et jB k deux defis d e pour le meme engagement R, 
c'est-a-dire, {i?, J, D) et {/?, e, E]. 

A chaque appel, le temoin est en position de produire des triplets en 
tenaille : il lui suffirait de rentiliser un jeu d'aleas. Mais il se garde bien des 
tenailles : en tirant au hasard un jeu d'aleas a chaque appel, il utilise en 
pratique chaque fois un nouveau jeu d'aleas. 

3.1. Paire de cles selon la presente invention conferant une securite 
equivalente a la connaissance de la cle privee Q 

La connaissance de deux triplets « en tenaille » equivaut a la connaissance 

de la cle privee Q. 

Demonstration. 

D'une part, le temoin se configure a partir des facteurs premiers 

de la cle privee Q et de I'exposant public de verification v. Une fois 
configure, le temoin pent produire une tenaille : il lui suffit d'utiliser deux 
fois le meme jeu d'aleas. 

D' autre part, deux triplets en tenaille se traduisent par les equations 
suivantes : 

D = r.Q"^ (mod n) et £ = r.Q^ (mod n) avec 0<d<€<v 
Par consequent, EID = Q^'^ (modn), avec 0<e-d<v 
Voyons comment calculer la cle privee Q a partir du rapport E/D, lequel 
vaut Q"- (mod n), c'est-a-dire I'une des v-1 valeurs {Q, 2\ Q\ ... Q"- 
(mod n)}, sachant que (mod n) est la cle publique G ou son inverse 
modulo n. 

La solution fait appel a I'identite de Bezout. Par definition, les coefficients 
de Bezout de v et de e-d sont les deux entiers ^ et Z verifiant les relations 
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suivantes; I'algorithme de division d'Euclide permet de les calculer 
efficacement. 

0<k<e-d; 0<l<v; k.v-l.(e-d) = ±pgcd(e-d,v) 
Dans le cas present, v est premier et done pgcd(e-^/, v) = 1. Ce qui donne 
I'identite : 

QL.-l.ie-cI)^Q±l ^^^^^^ 

C'est-a-dire, (Q^f /(Q'-^ ^ ^ (mod n) 

• Lorsque G = fi" (mod n) est utilisee, /{E/dY (mod n) vaut 

Q (mod n) ou son inverse modulo n. 

• Lorsque CQ" =1 (mod n) estutiUsee, g''.{E/D)' (mod«) vaut 

Q (mod n) ou son inverse modulo n. 
3.2. Jeux de cles selon la presente invention conferant une securite 
equivalente a la connaissance de la factorisation de n 
Les nombres GQ2 sont des produits de /+1 facteurs premiers distincts 
congrus a 3 (mod 4) avec la contrainte suivante : pour chacun de / petits 

nombres distincts, appeles nombres de base et not6s par ga, gb ainsi 

que pour chacune de leurs combinaisons multiplicatives ga.gb, soit en 
tout 2-1 nombres representes de fagon generique par g, les deux Equations 
x' = g (mod n) et = -g (mod n) n'ont pas de solution en x dans I'anneau 
des entiers modulo n. On dit alors que les nombres g et -g sont deux r6sidus 
non quadratiques modulo n. 

Note. « Petit » signifie plus petit que le plus petit des facteurs premiers. De 
preference, les nombres de base sont les / premiers nombres premiers ga = 
2, gb = 3, ... 

Les plus simples des nombres GQ2 sont les nombres de Williams avec un 
seul nombre de base = 2 et deux factevu-s premiers, I'un congru a 3 (mod 
8) et I'autre ^ 7 (mod 8). 

Rappelons que pour chaque nombre g qui n'est pas un carre, chaque 
nombre premier congru k 3 (mod 4) et plus grand que g se classe dans I'une 
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des deux categories suivantes : 

- la cat6gorie ou g est un residu non quadratique (et done -g un 
residu quadratique), 

- la cat6gorie ot -g est un residu non quadratique (et done g un 
r6sidu quadratique). 

Definition. Deux facteurs premiers sont equivalents ou complementaires 
au regard d*un nombre g selon qu'ils appartiennent ou pas a la meme 
categorie au regard du nombre g. 

Definition. Au regard de chaque nombre g, le profil dej facteurs est defini 
par une sequence de / bits en attribuant ie symbole 1 au premier facteur 
ainsi que a tons les facteurs qui lui sont equivalents, c'est-a-dire qui ont le 
meme symbole de Legendre, et le symbole 0 a tous les facteurs qui lui sont 
complementaires, c'est-a-dire, qui ont Tautre symbole de Legendre. 
Pour obtenir le profil au regard du produit de plusieurs nombres de base ga, 
gb, on calcule le produit des symboles de Legendre, puis, on code le 
profil resultant en attribuant le symbole 1 au premier facteur ainsi que a 
tous les facteurs qui lui sont equivalents, c'est-a-dire, qui ont le meme 
symbole de Legendre, et le symbole 0 a tous les facteurs complementaires, 
c'est-a-dire, qui ont T autre symbole de Legendre. 

Pour pouvoir comparer des profils, il faut ranger les facteurs dans le meme 
ordre, par example, dans I'ordre croissant. 

3.2.1. Methode systematique de construction des nombres GQ2 

Voyons comment construire les nombres GQ2 de maniere systematique, de 
fagon k pouvoir integrer simplement la methode de construction dans un 
gen6rateur de modules n. 

Le premier facteur doit simplement etre congru a 3 (mod 4). On notera 
toutefois son symbole de Legendre par rapport aux / nombres de base ga, 
gb, ... 

Le deuxieme facteur doit etre complementaire au regard du premier nombre 
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de base ga. Par exemple, lorsque ga = 2, un facteur doit etre congm a 3 
(mod 8) et I'autre k 1 (mod 8) : c'est un nombre de Williams. Par exemple 
encore, lorsque ga = 3, un facteur doit etre congru a 1 (mod 3) et I'autre a 2 
(mod 3), sachant qu'ils sont bien sur tous deux congras k 3 (mod 4). On 
notera egalement le symbole de Legendre du deuxieme facteur par rapport 
aux / nombres de base ga, gb, ... et on commencera a etablir les 2'-l 
profilSo 

Le troisifeme facteur doit prendre en compte le deuxieme nombre de base gb 
(par exemple, gb = 3 apres ga = 2). Deux cas se presentent, selon que les 
deux premiers facteurs premiers sont equivalents ou compldmentaires au 
regard du nombre gb. 

- Lorsque les deux premiers facteurs premiers sont equivalents au 
regard du nombre gb, le nouveau facteur doit etre 
complementaire au regard du nombre gb. 

- S'ils sont complementaires, alors par rapport au premier facteur, 
le nouveau facteur doit etre equivalent au regard de Tun des deux 
nombres ga ou gb et complementaire au regard de 1* autre. 

On notera encore le symbole de Legendre du troisieme facteur par rapport 
aux / nombres de base ga, gb, ... et on commencera a etablir les 2-1 
profils. Ainsi, avec trois facteurs, pour les deux nombres de base, il y a trois 
profils possibles : 100, 1 10 et 101. La construction assure un profil different 
pour chacun des trois nombres ga, gb et ga fois gb. 

Le quatrieme facteiu* doit prendre en compte le U-oisieme nombre de base 
gc (par exemple, gc^5 aprfes gb -3 ga ^ 2). Deux cas se presentent, 
selon que les trois premiers facteurs sont equivalents ou pas au regard du 
nombre gc. 

- Lorsque les trois premiers facteurs premiers sont equivalents au 
regard du nombre gc, le nouveau facteur doit etre 
complementaire au regard du nombre gc. 
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- S'ils ne sont pas equivalents, ils reproduisent le profil de Tun des 
trois nombres ga, gb ou ga fois gb (par example, 2, 3 ou 6), soit g 
ce nombre. P£ir rapport au premier facteur, le nouveau facteur 
doit Stre Equivalent au regard de Tun des deux nombres g ou gc 
et complementaire au regard de T autre. 

On notera encore le symbole de Legendre du quatrieme facteur par rapport 
aux / nombres de base ga, gb, ... et on continuera a etablir les 2-1 profils. 
Ainsi, avec quatre facteurs premiers, pour trois nombres de base, il y a sept 
profils possibles: 1000, 1100, 1010, 1001, 1110, 1101 et 1011. La 
construction assure un profil different pour chacun des sept nombres 
suivants : les trois nombres de base : ga, gb, gc et leurs quatre 
combinaisons multiplicatives ga.gb, ga.gc, gb.gc et ga.gb.gc, 
Ensuite, la procedure se generalise aisement de la maniere suivante. 
Lorsque j facteurs sont deja construits, le y+1 ieme facteur doit prendre en 
compte un j ieme nombre de base ; appelons g' ce nombre, par exemple, le 
j ieme nombre premier apres les j-l premiers nombres premiers. Deux cas 
se presentent, selon que les j premiers facteurs sont equivalents ou pas au 
regard du nombre g \ 

- Lorsque les j premiers facteurs premiers sont equivalents au 
regard du nombre g', le nouveau facteur doit Stre compl6mentaire 
au regard du nombre g\ 

- S*ils ne sont pas equivalents, ils reproduisent le profil de Tun des 
y-1 nombres ga, gb, ... ou de Tune de leurs combinaisons 
multiplicatives ga fois gb, ... ; appelons g ce nombre. Par rapport 
au premier facteur, le nouveau facteur doit etre equivalent au 
regard de Tun des deux nombres g ou g' ct complementaire au 
regard de T autre. 

On notera encore le symbole de Legendre du ieme facteur par rapport 
aux / nombres de base ga, gb, ... et on continuera a etablir les 2-1 profils. 
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3.2.2. Utilisation cryptographique des nombres GQ2 

Voici deux motifs d'interet cryptographique pour les nombres GQ2. 

- Produire des paires de cles pour des schemas de signature 
num6rique qui dtendent T usage de I'exposant 2 k des modules n 
ayant plus de deux facteurs premiers. 

- Produire des jeux de cles pour des schemas GQ2 
d'authentification dynamique ou de signature numerique. 

3.2.2.1 Dans I'annexe A de ISO/CEI 9796, extension de l^usage des 
exposants pairs a des modules ayant plus de deux facteurs premiers, 
chaque facteur etant congru a 3 (mod 4). 

=^ Pour eviter de divulguer la factorisation du module n en appliquant la 
fonction privee de signature a un argument, c'est-a-dire, en calculant une 
racine carree (mod n), il faut egaliser les symboles de Legendre de 
r argument par rapport & Tensemble des facteurs premiers du module n. 
Cette egalisation se fait en divisant par un « egaliseur » appropri6. A la 
verification, il faut decoder le resultat, c'est-a-dire, deduire la valeur de 
r egaliseur mis en ceuvre a la signature. 

II faut d'abord choisir et normaliser un ou plusieurs petits nombres. Ces 
nombres sont de preference les / premiers nombres premiers. Nous les 
nommerons les egaliseurs de base et les noterons par ga, gb ... Les / 
egaliseurs de base completes par leurs combinaisons multiplicatives, soit 
2-1 nombres en tout, constituent T ensemble des egaliseurs. Voyons 
comment utiliser les egaliseurs. 

• Deux facteurs — On choisit d'abord un egaliseur de base ga (par 
exemple, ga — 2 \on pourrait aussi bien prendre 3, 5 ou 7 ...). Puis, on 
choisit deux facteurs premiers complementaires au regard de T egaliseur 
ga (par exemple, lorsque ga = 2, un facteur est congru a 3 (mod 8) et 
I'autre a 7 (mod 8)). Lorsqu'un argument est soumis k la fonction privee 
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de signature, on calcule le symbole de Jacobi de F argument par rapport 
au module n. S'il vaut +1, on garde Targument tel quel. S*il vaut -1, on 
remplace T argument par T argument divise par Tfgaliseur ga poiir 
mettre le symbole de Jacobi k +1 ; suite a cette operation, le symbole de 
Jacobi de Fargument vaut +1, c'est-a-dire que les symboles de Legendre 
de Fargument sont alors tous les deux egaux a -1 ou bien tous les deux 
egaux a H-h Cette methode figure dans F annexe A de la norme ISO/CEI 
9796. 

Trois facteurs — On choisit d'abord deux egaliseurs de base, par 
exemple, ga = 2ei gb-3. Puis, on choisit les trois facteurs premiers de 
sorte que ga^l, gb - 3 et ga.gb = 6 soient tous les trois des residus non 
quadratiques (mod n). Lorsque les trois symboles de Legendre de 
Fargument sont inegaux, on les 6galise en divisant Fargument selon le 
cas par = 2, gfo = 3 ou ga.gb - 6, c*est-a-dire, par F6galiseur qui 
presente le meme profil que Fargument. 

Quatre facteurs — On choisit d'abord trois egaliseurs de base, par 
exemple, ga = % gb -3 gc - 5. Puis, on choisit les quatre facteurs 
premiers de sorte que les sept nombres 2, 3, 5, 6, 10, 15 et 30 soient des 
residus non quadratiques (mod n). Lorsque les quatre symboles de 
Legendre de 1' argument sont inegaux, on les egalise en divisant 
Fargument par Fegaliseur approprie : 2, 3, 5, 6, 10, 15 ou 30, c'est-a- 
dire, celui qui presente le m6me profil que Fargument. 
Cinq facteurs — On choisit d'abord quatire egaliseurs de base, par 
exemple, ga = 2, gfo = 3, = 5 et gd = 7, Puis, on choisit les cinq 
facteurs premiers de sorte que les quinze nombres 2, 3, 5, 6, 7, 10, 14, 
15, 21, 30, 35, 42, 70, 105, 210 soient des residus non quadratiques 
(mod n), Lorsque les symboles de Fargument sont inegaux, on les 
6galise en divisant Fargument par Fegaliseur appropri6 : 2, 3, 5, 6, 7, 
10, 14, 15, 21, 30, 35, 42, 70, 105, 210, c'est-a-dire celui qui a le meme 
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profil que Targument. 

• Et ainsi de suite. 

3.2.2.2. GQ2 - Le module est le produit de facteurs premiers congrus 
a 3 (mod 4). 

=> La propriete a assurer est que toute paire de triplets GQ2 en tenaille 
revfele une factorisation non triviale du module. 

II faut d'abord choisir un ou plusieurs petits nombres. Ce sont de preference 
les / premiers nombres premiers. Nous les appellerons les racines triviales 
de base et les noterons par ga, gb, ... Les / racines triviales de base 
completees par leurs combinaisons multiplicatives, soit, en tout, 2-1 
nombres, constituent 1' ensemble des racines triviales. 

• Deux facteurs — II faut d*abord selectionner une seule racine triviale de 
base ga (par exemple, = 2 ; on pourrait aussi bien prendre 3, 5 ou 7 
...). II faut ensuite choisir les deux facteurs de sorte que la racine triviale 
ga soit un residu non quadratique (mod n), c'est-a-dire que les facteurs 
soient « complementaires » au regard de la racine triviale ga. 

• Trois facteurs — II faut d'abord selectionner deux racines triviales de 
base, par exemple, ga = 2 ci gb = 3. II faut ensuite choisir les trois 
facteurs de sorte que les trois (2 puissance 2 moins 1) racines triviales 
ga gb et ga.gb, par exemple, 2, 3 et 6, soient des residus non 
quadratiques (mod n). 

• Quatre facteurs — II faut d'abord selectionner trois racines triviales de 
base, par exemple, ga = 2, gb ^ 3 et gc = 5. II faut choisir ensuite les 
quatre facteurs premiers de sorte que les nombres 2, 3 et 5, ainsi que 
leurs combinaisons multiplicatives, c'est-a-dire, 6, 10, 15 et 30, soient 
tous les sept (2 puissance 3 moins 1) des residus non quadratiques (mod 
n). Ces sept nombres sont les racines triviales. 

• Cinq facteurs — II faut d'abord selectionner quatre racines triviales de 
base, par exemple, ga = 2, gb = 3, gc = 5 et gd = 7. II faut choisir 
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ensuite les cinq facteurs premiers de sorte que les nombres 2, 3, 5 et 7, 
ainsi que leurs combinaisons multiplicatives, c'est-a-dire, 6, 10, 14, 15, 
21, 30, 35, 42, 70, 105 et 210, soient tous les quinze (2 puissance 4 
moins 1) des residus non quadratiques (mod n). Ces quinze nombres 
sont les racines triviales. 
• Et ainsi de suite. 

Dans les mecanismes GQ2 d'authentification dynamique et de signature 
numerique, toute paire de triplets GQ2 en tenaille revele une des k valeurs 
{Q. Q\ Q\ ' - jusqu'au fc-1 ieme carre de Q (mod n)) o\x Q est une des 2''* 
combinaisons multiplicatives des Z cles privees de base QA, QB, ... Ceci 
revient a connaitre le k-l ieme carre d'un nombre Q (mod ri) ; ce nombre 
ou son inverse (mod n) est une racine carree (mod n) de la combinaison 
correspondante des cles publiques, combinaison que nous notons par G = 
g^, Nommons q ce nombre. 

La mise en oeuvre de nombres GQ2, c'est-a-dire, de modules n constmits 
selon la methode precedentes a partir de Z+1 facteurs premiers et de / 
racines de base ga gb assurent que, pour toute paire de triplets en 
tenaille, le nombre q obtenu ci-dessus est une racine carree non triviale de 
G = dans I'anneau des entiers modulo n. Le module n divise q^-g^, alors 
qu'il ne divise ni q-g ni q-^g. Ainsi, avec des nombres GQ2, toute paire de 
triplets GQ2 en tenaille revele une factorisation non triviale du module n. 
Sur I'ensemble des paires de triplets en tenaille, toutes les factorisations 
non triviales sont possibles : la factorisation est determinee par le profil du 
nombre g conceme : d'une c6te, tous les facteurs premiers equivalents au 
premier facteur premier, de T autre tous les autres facteurs premiers, c'est-a- 
dire, ceux qui sont complementaires au premier facteur premier. 
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4. Securite du nouveau procede 

D'une maniere generale, la securite des protocoles « sans transfert de 
connaissance » s' analyse selon trois notions de base definies dans T article 
de base de Shafi Goldwasser, Silvio Micali et Charles Rackoff. 
Dans le cas qui nous interesse, une entite proclame : « — Void un module 
n, un exposant de verification v et une cle publique G; j' utilise la 
factorisation de n et je connais la cle privee Q, » 

Par definition, lorsque I'entite connait les facteurs premiers, c'est un 
temoin. A chaque appel, le temoin produit de maniere privee un triplet que 
le contr61eur accepte. Par consequent, la procedure est comp lete. 
Par definition, lorsque I'entite ne connait pas les facteurs premiers, c'est un 
tricheur. A chaque appel, le tricheur a une chance sur v de deviner le defi J 
(si les V defis sent equiprobables) ; il pent done anticiper un defi, n'importe 
lequel, et ainsi tromper le controleur ; s'il pouvait anticiper un deuxieme 
defi apres avoir produit 1' engagement, il connai trait une paire de triplets en 
tenaille, ce qui contredit la definition du tricheur. Par consequent, la 
procedure est fobuste . 

Note. La presente version fait fi du symbole de Jacobi ; le prix a payer est 
la perte d'un bit de defi par paire de cles selon la presente invention. Le 
procede ne marche pas pour ^ = 1 ; le tricheur a une strategic gagnante 
totale. A partir de /: = 2, le tricheur n' a plus qu'une strategic gagnante 
partielle ; il peut anticiper deux defis mais pas trois. 

Quelle que soit la maniere dont se comporte le monde exterieur, il rcfoit 
seulement Tinformation que le temoin connait les facteurs premiers. Plus 
precisement, quelle que soit 1' information emise par le temoin, n'importe 
qui aurait pu la constituer sans interaction avec le temoin ; n'importe qui 
peut simuler les transmissions et produire un enregistrement qui reproduit 
les caracteristiques statistiques des informations recueillies lors d'une 
interaction avec le temoin. Durant T interaction, un observateur ne peut pas 
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distinguer un honnete temoin d'un faux temoin utilisant une liste de defis 
convenue h Tavance. Aprfes T interaction, un juge ne peut pas distinguer les 
deux types d'enregistrements. En effet, on ne peut pas distinguer un 
enregistrement de triplets produits de maniere publique et un 
enregistrement de triplets produits de maniere privee. Par consequent, la 
procedure utilisee par le temoin ne laisse Filtrer aucune information sur la 
valeur des facteurs premiers . 

L'entite qui prouve pilote toujours le meme temoin fonctionnant toujours de 
la meme mani&re : le temoin utilise les facteurs premiers et la cle privee Q 
sans les reveler ; le temoin assure la protection des facteurs premiers et de 
la cle privee Q. Le controleur verifie la cle privee Q sans en prendre 
connaissance. La procedure se deroule « sans transfert de connaissance ». 
Certaines paires de cles selon la presente invention sont telles que la 
connaissance de la cle privee Q implique la connaissance de la factorisation 
du module n. Avec le nouveau procede, la factorisation et la cle privee Q ne 
s'usent pas, meme quand on s'en sert. 
5. Performances du nouveau procede avec v = 2* 

Dans cette evaluation, on fait I'hypothese que la valeur de G est petite, par 
exemple, G = 4. La charge de travail du temoin et la charge de travail du 
controleur dependent du niveau de securite recherche, c'est-a-dire du 
produit de deux nombres : le nombre j de triplets produits a chaque appel au 
temoin et la valeur donnee au parametre de securite k moins un (en effet, on 
perd un bit de defi en laissant tomber le symbole de Jacobi). 
Pour une authentification avec 7. (/:-!) = 16 avec 7 = 1, 

le temoin doit effectuer 17 carres pour calculer T engagement /?, puis, en 

moyenne 16 carres et 8 multiplications plus une multiplication pour 

calculer la reponse Z>, soit 41 operations (mod n) ; 

cette charge est divisee par deux avec deux facteurs premiers, soit 20 

operations (mod n) ; . 
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cette charge est divisde par trois avec trois facteurs premiers, soil 
environ 14 operations (mod n) ; 

et ainsi de suite, 
le contrdleur doit effectuer 17 carres (mod n). 
Pour une signature avec j.(k-l) = 80 avec 7=1, 
le temoin doit effectuer 81 carres pour calculer 1' engagement R, puis, en 
moyenne 80 carres et 40 multiplications plus une multiplication pour 
calculer la r6ponse £), soit 202 operations (mod n) ; 

cette charge est divisee par deux avec deux facteurs premiers, soit 100 
operations (mod n) ; 

cette charge est divisee par trois avec trois facteurs premiers, soit 67 
operations (mod n) ; 

et ainsi de suite, 
le contrdleur doit effectuer 81 carres (mod n). 
Remarque. Pour une valeur donnee du niveau de securite j.k, le choixy = 
1 ne change pratiquement pas la charge de travail du temoin, ni celle du 
controleur ; elle minimise toutefois le nombre de triplets produits, c'est-^- 
dire, la charge de transmission pour mener a bien I'operation, que cette 
op6ration soit une authentification ou une signature. 

Utilisons plusieurs paires de cles selon la presente invention, toutes avec le 
meme exposant pubUc de verification v. Cela fait apparaitre un niveau de 
securite Uk-\).l on I est le nombre de paires de cles selon la presente 
invention. Le fait d'utiliser plusieurs paires de cles selon la pr6sente 
invention diminue la charge de travail du temoin, ainsi que la charge de 
travail du controleur. 

Dans le tableau ci-dessous, M represente une multiplication (mod n) et X 
un carre (mod ri). Rappelons que sur le composant ST 16601 pour carte a 
puce, avec une horloge normalisee a 3,579545 MHz, le carre modulo pour 
512 bits se fait en 150 ms et la multiplication modulo en 200 ms. 
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(k-l).l=16 


1=1 


1 = 2 


1 = 4 


/ = 8 


Z= 16 


Engagement 


17 X 


9X 


5X 


3X 


2X 


Reponse 


1 M + 


1 M + 


IM + 4X+ 


1 M + 


1 M + 




16 X + 


8X + 


8M 


2X + 


1 X + 




8M 


8X 




8M 


8M 


Total du 


33 X + 


17 X + 


9X + 


5X + 


3 X + 


temoin 


9M 


9M 


9M 


9M 


9M 


Trois 


11 X + 


6X + 


3X + 


2X + 


1 X + 


facteurs 


3M 


3 M 


3M 


3M 


3M 


Verification 


17 X 


9X 


5X 


3X 


2X 



Le compromis pour / = 4 est tres attrayant parce que, compte tenu des restes 
chinois avec un module a trois facteurs premiers, le terminal et la carte ont 
a peu pres la meme charge de travail. II est preconise d'utiliser les cles 
publiques GA = 4, GB = 9, GC = 25, GD = 49. 
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Revendications 

1. Procede pour diminuer la charge de travail pendant une session 
destin^e a prouver a un contrdleur, 

- I'authenticitd d'une entite et/ou 

- rorigine et Tintegritd d'un message m, 
ledit proc6d6 met en oeuvre trois entites : 

- une premiere entitd appel^e t6moin dispose des facteurs premiers 
P,» P2» — (Pi , ...) (i etant superieur ou egal k 2) d'un module public n tel 
que n = p,.pj. P3. ... , 

ledit temoin dispose aussi 

* des composantes QA„ QA,, ... (QA,, ...), et QB„ QB„ ... (QB,, 
...), .... representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA„ GA„ ... (GA„ ...) et GB„ GB„ ... (GB ) 

* des exposants publics de verification vx, vy, ... 

lesdites cles privees et cles publiques dtant liees par des relations du type : 

GA.QA" mod n = 1 ou GA = QA"mod n 
lesdits exposants publics de v6rification vx, vy, ... etant utilises par le 
temoin pour calculer des engagements R en effectuant des operations du 
type : 

R = r" mod p. 

ou r, est un entier, associ^ au nombre premier p., tel que 0 < r, < p, , chaque 
r. appartenant a une collection d'al6as {r„ r^, r,, ...}, 

le temoin tire au hasard une ou plusieurs collections d'al6as de telle sorte 
que, pour chaque exposant public de verification v, il y a autant 
d'engagements R que de collections d'aleas {r,, r^, r,, .. . }, 
- une deuxieme entity pilote dudit temoin 

* appelee d6monstrateur dans le cas de la preuye de 1' authenticity 
d'une entite ou de I'authenticite d'un message. 



106 



* appelee signataire dans les cas de la preuve de Torigine et de 
rint^grite d'un message, 

- une troisieme entity appelee contrfileur verifie Tauthentification ou 
I'origine et rintegrite d'un message, 

ledit temoin re9oit de la deuxieme entite ou du contrSleur un ou plusieurs 
defis d tel que 0 < d < vx - 1 et calcule a partir de ce defi une ou plusieurs 
reponses D en effectuant des operations du type : 

D, s r . QA, . QB. . ... mod p. 
ou r est un al6a tel que 0 < r. < 

de sorte que le nombre d'operations arithmetiques modulo p. a effectuer 
pour calculer chacune des reponses D. pour chacun des p. est reduit par 
rapport a ce qu'il serait si les operations etaient effectuees modulo n, 
ledit controleur recevant une ou plusieurs reponses D calcule a partir 
desdites reponses des engagements en effectuant des operations du 
type : 

R'= GA GB ...D' mod n 

ou du type : 

R'.GA '\GB'^. ...= D' modn 
ledit contrSleur verifie que les triplets {R% d, D} sont coherents. 

2. Precede pour diminuer la charge de travail pendant une session 
destinee a prouver a un controleur, 

- I'authenticite d' une entite et/ou 

- Torigine et I'intdgrite d'un message m, 
ledit procede met en oeuvre trois entites : 

- une premiere entite appelee temoin dispose des facteurs premiers 
Pu P29 (Pi» •••) (1 etant superieur ou egal a 2) d'un module public n tel 
que n = Pj.p^. P3 , 

ledit temoin dispose aussi 

* des composantes QA„ QA^, ... (QA, ...), et QB,, QB^, •.. (QB. , 
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...), representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA,, GA,, ... (GA., ...) et GB„ GB„ ... (GB., ...) 

* d'un exposant public de verification v 

lesdites paires de cles privees et publiques etant liees par des relations du 
type: 

GA.QA* mod n = 1 ou GA = QA'^mod n 

ledit exposant public de verification v etant utilise par le temoin pour 
calculer des engagements R, 

• en effectuant des operations du type : 

R s r' mod p. 

ou Fj est un entier, tire au hasard, associe au nombre premier p., tel que 0 < 
r. < pj , chaque r appartenant h une collection d'aleas { r„ r^, ...}, 

♦ puis en appliquant la methode des restes chinois, 

le temoin tire au hasard une ou plusieurs collections d'aleas de telle sorte 
qu'il y a autant d'engagements R que de collections d'aleas {r,, r,, Tj, ... }, 
de sorte que le nombre d' operations arithmetiques modulo p, a effectuer 
pour calculer chacun des R, pour chacun des Pj est reduit par rapport a ce 
qu'il serai t si les operations etaient effectuees modulo n, 

- une deuxieme entite pilote dudit temoin, 

* appelee demonstrateur dans le cas de la preuve de I'authenticite 
d'une entite ou de Tauthenticite d'un message, 

* appelee signataire dans les cas de la preuve de Torigine et de 
rintegrite d'un message, 

- une troisieme entite appelee controleur verifie Tauthentification ou 
Torigine et Tintegrite d'un message, 

ledit temoin re^oit de la deuxieme entite ou du contrdleur, des collections 
de defis d {dA, dB, ...} tels que 0 < dA < v - 1, le nombre des collections 
de defis d etant egal au nombre d'engagements R, chaque collection {dA, 
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dB, ..•} comprenant un nombre de defis 6gal au nombre de paires de cles, 
ledit temoin calcule a partir de chacune desdites collections de d6fis {dA, 
dB, ...} des r6ponses D 

• en effectuant des operations du type : 

s r.. QA. . QB, . ... mod p. 

• puis en appliquant la methode des restes chinois, 

de telle sorte qu'il y a autant de reponses D que d' engagements R et de 
defis d, 

de sorte que le nombre d' operations arithmetiques modulo p. k effectuer 
pour calculer chacun des D. pour chacun des p. est reduit par rapport k ce 
qu'il serait si les operations etaient effectuees modulo n 
ledit contrdleur recevant une reponse D calcule k partir de cette reponse un 
engagement R' en effectuant des operations du type : 

R'^GA'^^.GB*^. ...D' modn 

ou du type : 

R\ GA GB ^. mod n 

ledit controleur verifie que les triplets {R% d, D} sont coherents. 

3. Procede selon la revendication 2 pour diminuer la chzirge de 
travail pendant une session destinee a prouver a un controleur Tauthenticite 
d'une entite ; 

ledit procede met en oeuvre trois entites : 

1 - une premiere entite appelee temoin dispose des facteurs premiers 
Pi» P2> (Pi 9 •••) ^i^t superieur ou egal a 2) d'un module public n tel 

que n = Pj-P^. Pj , 

ledit temoin dispose aussi 

* des composantes QA„ QA^, ... (QA. , ...), et QB,, QB^, ... (QB,, 
...), representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA^, GA^, ... (GA., ...) et GB^, GB^, ... (GB., ...) 
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• d'un exposant public de verification v 

lesdites paires de cles privees et publiques etant liees par des relations du 
type : 

GA.QA' mod n = 1 ou GA = QA'mod n 

2 - une deuxieme entite pilote dudit temoin appelee demonstrateur 

3 - une troisieme entite appelee controleur verifie Tauthentification, 
pour prouver Tauthenticite d'une entite, ledit temoin, ledit demonstrateur 
et ledit contrSleur executent les etapes siiivantes : 

• etape 1. engagement R du temoin : 

- a chaque appel, le temoin tire au hasard et en priv6 au moins une 
collection de nombres entiers {r^, r^, Tj, ...},telle que, pour chaque facteur 
premier p., chaque collection comporte un alea r. positif et plus petit que p. , 

- pour chaque facteur premier p. , le temoin eleve chaque alea r. a la 
puissance v ieme modulo p. 

R. = mod p. 

de sorte que le nombre d'operations arithmetiques modulo p,. a effectuer 
pour calculer chacun des R. pour chacun des Pj est reduit par rapport a ce 
qu'il serait si les operations etaient effectuees modulo n, 

- puis, le temoin etablit chaque engagement R modulo n selon la methode 
des restes chinois, 

de telle sorte qu'il y a autant d' engagements R que de collections d'aleas 

• etape 2. defi d destine au temoin : 

- le demonstrateur transmet tout ou partie de chaque engagement R au 
contrSIeur, 

- le controleur, apres avoir re9U tout ou partie de chaque engagement R, 
produit au moins une collection de d^fis d {dA, dB, ...} tels que 0 < dA < v 

- 1, le nombre des collections de defis d etant egal au nombre 
d' engagements R, chaque collection {dA, dB, ...} comprenant un nombre 
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de d6fis 6gal au nombre de paires de cl6s, 

• etape 3. reponse du temoin au defi d : 

- ledit t6moin calcule des reponses D a partir desdites collections de defis d 
{dA, dB, •..} re9ues du controleur 

en effectuant des operations du type : 

D. = r, . QA. . QB, . ... mod p. 
de sorte que le nombre d*op6rations arithmetiques modulo p. a effectuer 
pour calculer chacun des D. pour chacun des p. est reduit par rapport a ce 
qu'il serait si les operations etaient effectuees modulo n, 
puis en appliquant la m6thode des restes chinois, 

de telle sorte qu'il y a autant de reponses D calculees par le temoin que 
d' engagements R et de defis d, 

• etape 4. domiees destinees au controleur : 

- le demonstrateur transmet au contrdleur chaque reponse D, 

• etape 5. verification par le controleur : 

ledit controleur calcule a partir de chaque reponse D un engagement en 
effectuant des operations du type : 

R'= GA GB ... D' mod n 

ou du type : 

R'. GA GB mod n 

ledit contrdleur v6rifie que chaque engagement reconstruit R' reproduit tout 
ou partie de chaque engagement R transmis a T etape 2 par le 
demonstrateur. 

4. Procede selon la revendication 2 pour diminuer la charge de 
travail pendant une session destinee k prouver a un controleur I'authenticite 
d'un message m, 

ledit proc6de met en oeuvre trois entit6s : 

1 - une premiere entite appelee temoin dispose des facteurs premiers 
Pi» P25 (Pi > •••) (i superieur ou egal a 2) d'un module public n tel 
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quen = p,.p^.p3. ... , 

ledit t€moin dispose aussi 

* des composantes QA., QA,, ... (QA , ...), et QB„ QB„ ... (QB,, 
...)» repr6sentant des cles privies QA, QB, ... 

* des cl6s publiques GA, GB, ... ayant respectivement pour 
composantes GA„ GA„ ... (GA ) et GB„ GB„ ... (GB„ ...) 

* d'un exposant public de verification v 

lesdites paires de cles privees et publiques etant liees par des relations du 
type: 

GA.QA" mod n a 1 ou GA = QA*mod n 

2 - une deuxieme entite pilote dudit t6moin appelee demonstrateur, 

3 - une troisieme entite appelee controleur v6rifie I'authentification, 
pour prouver 1' authenticity d'un message ledit temoin, ledit demonstrateur 
et ledit contr61eur ex6cutent les etapes suivantes : 

• ^tape 1. engagement R du temoin : 

- a chaque appel, le temoin tire au hasard et en prive au moins une 
collection de nombres entiers {r„ r„ ...},telle que pour chaque facteur 
premier, p,, chaque collection comporte un alea r,positif et plus petit que p, , 

- pour chaque facteur premier p. , le temoin 61feve chaque alea r, a la 
puissance v ieme modulo p. 

R,sr;modp, 

de sorte que le nombre d'operations arithmetiques modulo p, a effectuer 
pour calculer chacun des R, pour chacun des p, est reduit par rapport k ce 
qu'il serait si les operations etaient effectu6es modulo n, 

- puis, le temoin etabUt chaque engagement R modulo n seloh la m6thode 
des Testes chinois, ^ 

de telle sorte qu'il y a autant d'engagements R que de collections d'aleas 
• etape 2. defi d destine au temoin : 
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- le demonstrateur applique une fonction de hachage f ayant comme 
arguments le message m et chaque engagement R pour un jeton T, 

- le demonstrateur transmet le jeton T au controleur, 

- le controleur, apr&s avoir regu le jeton T, produit au moins une collection 
de defis d {dA, dB, ...} tels que 0 < dA < v - 1, le nombre des collections 
de defis d etant egal au nombre d' engagements R, chaque collection {dA, 
dB, ...} comprenant un nombre de defis egal au nombre de paires de cles, 

• etape 3. reponse du temoin au defi d : 

- ledit temoin calcule des reponses D a partir desdites collections de defis d 
{dA, dB, ...} regues du controleur 

en effectuant des operations du type : 

D. = r. . QA. . QB. ''^ • ... mod p. 
puis en appliquant la methode des restes chinois, 

de sorte que le nombre d'operations arithmetiques modulo p. a effectuer 
pour calculer chacun des D. pour chacun des p. est reduit par rapport a ce 
qu'il serait si les operations etaient effectuees modulo n, 
de telle sorte qu'il y a autant de reponses D calculees par le temoin que 
d'engagements R et de defis d, 

• etape 4. donnees destinees au controleur : 

- le demonstrateur transmet au controleur chaque reponse D, 

• etape 5. verification par le controleur : 

ledit controleur calcule a partir de chaque reponse D un engagement R' en 
effectuant des operations du type : 

R'=GA**\GB'". ...D^ modn 

ou du type : 

R^ . GA GB mod n 

ledit controleur applique la fonction de hachage f ayant comme arguments 
le message m et chaque engagement reconstruit R' pour reconstruire le 
jeton T% 
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ledit contrdleur verifie que le jeton T' est identique au jeton T transmis a 
r^tape 2 par le d^monstrateur. 

5. Procede selon la revendication 2 pour diminuer la charge de 
travail pendant une session destinee a prouver a un contr61eur la signature 
num^rique d'un message m, 
ledit procede met en CEuvre trois entites : 

1 - une premiere entite appelee temoin dispose des facteurs premiers 
P,> P2» — (Pi » •••) (i etant superieur ou egal a 2) d'un module public n tel 
que n = p,.p,. p,. ... , 

ledit temoin dispose aussi 

* des composantes QA„ QA,, ... (QA, ...). et QB„ QB„ ... (QB,, 
...), representant des cles privees QA, QB, ... 

* des cl6s publiques GA, GB, ... ayant respectivement pour 
composantes GA„ GA„ ... (GA,, ...) et GB„ GB„ ... (GB,, ...) 

* d'un exposant public de verification v 

lesdites paires de cl6s privees et publiques etant liees par des relations du 
type : 

GA.QA' mod n = 1 ou GA = QA^mod n 

2 - une deuxieme entity pilote dudit temoin appelee signataire, 

3 - une troisifeme entit6 appelee controleur verifie I'authentification, 
pour prouver la signature d'un message ledit temoin, ledit d6monstrateur et 
ledit contrdleur executent les etapes suivantes : 

• etape 1. engagement R du temoin : 

- a chaque appel, le temoin tire au hasard et en pn\6 au moins une 
collection de nombres entiers {r„ r„ r,, ...},telle que, pour chaque facteur 
premier p., chaque collection comporte un alea r.positif et plus petit que p, , 

- pour chaque facteur premier p. , le temoin eleve chaque alea r, a la 
puissance v ieme modulo p. 

R = Tj' mod p, 
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de sorte que le nombre d' operations arithmetiques modulo Py k effectuer 
pour calculer chacun des R pour chacun des Pj est reduit par rapport h ce 
qu'il serait si les operations etaient effectuees modulo n, 

- puis, le temoin etablit chaque engagement R modulo n selon la m6thode 
des restes chinois, 

de telle sorte qu'il y a autant d' engagements R que de collections d'aleas 
{Tj, Tj, r^, •••}» 

• etape 2. defi d destine au temoin : 

- le signataire applique une fonction de hachage f ayant comme arguments 
le message m et chaque engagement R pour obtenir au moins une 
collection de defis d {dA, dB, ...} tels que 0 < dA < v - 1, le nombre des 
collections de defis d etant egal au nombre d' engagements R, chaque 
collection {dA, dB, .•.} comprenant un nombre de defis egal au nombre de 
paires de cles, 

- le signataire transmet les collections de defis d au temoin, 

• etape 3« reponse du temoin au defi d : 

- ledit temoin calcule des reponses D a partir desdites collections de defis d 
{dA, dB, ...} re9ues du controleur 

en effectuant des operations du type : 

D. = r • QA. . QB. . ... mod p. 
puis en appliquant la methode des restes chinois, 

de sorte que le nombre d' operations arithmetiques modulo p. a effectuer 
pour calculer chacun des D. pour chacun des p. est reduit par rapport a ce 
qu'il serait si les operations etaient effectuees modulo n, 
de telle sorte qu'il y a autant de reponses D calculees par le temoin que 
d' engagements R et de "defis d, 

- ledit temoin transmet les reponses D au signataire et/ou au controleur, 

• etape 4. donnees destinees au controleur : 

- le signataire transmet un message signe au controleur comprenant : 
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/ le message m, 

/ les collections de d6fis d ou les engagements R, 
/ chaque reponse D 

• etape 5. verification par le contrdleur : 
cas ou le contrdleur re9oit la collection des defis d, 

dans le cas ou le contrdleur refoit la collection des defis d et des r6ponses 
D, ledit contr6Ieur calcule a partir de chaque reponse D un engagement R' 
en effectuant des operations du type : 

R'=GA'".GB'"....D' modn 

ou du type : 

R' • GA ^ . GB ^ . . . . = mod n 

ledit conti-dleur applique la fonction de hachage f ayant comme arguments 
le message m et chaque engagement reconstruit R' pour reconstruire 
chaque d6fi d*, 

ledit contrdleur verifie que chaque defi d' reconstruit est identique au d6fi d 
figurant dans le message sign6, 

cas oil le contrdleur regoit la collection des engagements R 

dans le cas ou le contrdleur revolt la collection des engagements R et des 
reponses D, ledit contrdleur applique la fonction de hachage f ayant comme 
arguments le message m et chaque engagement R pour reconstruire chaque 
defi d', 

ledit contrdleur reconstruit alors la collection des engagements . R' en. 
effectuant des op6ration du type 

R'=GA*'\GB''"....D* modn 

ou du type : 

R'.GA-\GB''*. ... = D'modn 

ledit contrdleur verifie que chaque engagement R' reconstruit est identique 
a r engagement R figurant dans le message signe, 

6. Proc^d6 selon I'une quelconque des revendications 1 a 5 tel que 
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les composantes QA,, QA^? ... (QA. , ...), et QB^ QB^, ... (QB. , ...), ... 
des cles priv6es QA, QB, ... sont des nombres tir6s au hasard a raison 
d'une composante QA. , QB^ , ... pour chacun desdits facteurs premiers p,, 
lesdites cles privees QA, QB, pouvant Stre calculees k partir desdites 
composantes QA^, QA^, ... (QA., ...), et QB„ QB^, ... (QB,, ...), ... par la 
methode des restes chinois, 
lesdites cles publiques GA, GB, ... etant calculee 

• en effectuant des operations du type : 

GA. = QA/modp. 

• puis en appliquant la methode des restes chinois pour etablir GA tel que 

GA^QA'modn 

ou bien tel que 

GA.QA' mod n = 1 

de sorte que le nombre d' operations arithmetiques modulo Pj a effectuer 
pour calculer chacun des GA. pour chacun des Pj est reduit par rapport a ce 
qu'il serait si les operations etaient effectuees modulo n. 

7. Procede selon la revendication 6 tel que I'exposant public de 
verification v est un nombre premier, 

de sorte que la paire de cles GA, QA confere une securite equivalente a la 
connaissance de la cle privee QA. 

8. Procede selon i'une quelconque des revendications 1 a 5 tel que 
I'exposant public de verification v est du type 

v = a'' 

ou k est un parametre de securite plus grand que 1 . 

9. Procede selon la revendication 8 tel que : 

- I'exposant public de verification v est du type 

v = 2 

ou k est un parametre de securite plus grand que 1 , 

- la cle publique GA est un carre gA^ inferieur a n choisi de telle 
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sorte que les deux equations 

x^sgAmodn et x^ = -gAmodn 
n'ont pas de solution en x dans I'anneau des entiers modulo n, 

- lesdites composantes QA„ QA„ ... (QA,, ...) de la cI6 priv6e QA 
sont telles que : 

GAs QA, mod p, 

ou bien telles que : 

GAr.QA, ^^"'"'"inod p,= 1 
on les obtient en extrayant la k ieme racine carr^e de OA dans le corps de 
Galois CG(pj) 

de sorte que le nombre d' operations arithmetiques modulo p, k effectuer 
pour calculer chacun des QA, pour chacun des p, est reduit par rapport i ce 
qu'il serait si les operations 6taient effectuees modulo n, 
de sorte que la paire de cles GA, QA conf6re une securite equivalente k la 
connaissance de la factorisation de n. 

10. Proc6de selon la revendication 9 tel que pour extraire la k ieme 
racine carree de GA dans le corps de Galois CG(p,), 

* dans le cas oil le facteur premier p, est congru k 3 modulo 4, on 
applique notamment un algorithme du type : 

X - (p+l)/4 ; y s x" mod (p-1) ; z = y ; QA, = GA' mod p, 

* dans le cas ou le facteur premier p, est congru a 1 modulo 4, on 
utilise les suites de Lucas. 

11. Systeme pour diminuer la charge de travail pendant une session 
destinee a prouver a un serveur controleur, 

- I'authenticite d'une entite et/ou 

- I'origine et I'integrite d'un message m, 
ledit procede met en ceuvre trois entitds : 

- une premiere entite, appelee dispositif temoin, contenue notamment 
dans un objet nomade se presentant par exemple sous la forme d'une carte 
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bancaire k microprocesseur, 

le dispositif t^moin dispose d'une premiere zone memoire contenant des 
facteurs premiers p^, ... (Pj , ...) (i 6tant superieur ou egal k 2) d'un 
module public n tel que n = Pj.p^. Pa- , 

ledit dispositif temoin dispose aussi d'une deuxieme zone memoire 
contenant : 

* des composantes QA,, QA^, ... (QA. , ...), et QBj, QB^, ... (QB,, 
...), representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA,, GA^, ... (GA., ...) et GB,, GB^, .<». (GB., ...) 

* des exposants publics de verification vx, vy, ... 

lesdites cles privees et cles publiques 6tant liees par des relations du type : 

GA.QA'" mod n = 1 ou GA = QA" mod n 
ledit dispositif temoin comporte aussi des premiers moyens de calcul pour 
calculer des engagements R en effectuant des operations du type : 

R = r" mod p. 
ou r. est un alea tel que 0 < r. < p. , 

de sorte que le nombre d' operations arithmetiques modulo p. h effectuer par 
lesdits premiers moyens de calcul pour calculer chacun des R. pour chacun 
des p. est reduit par rapport a ce qu'il serait si les operations etaient 
effectuees modulo n, 

- une deuxieme entite appelee dispositif pilote dudit dispositif 
temoin pouvant etre egalement contenue notamment dans ledit objet 
nomade, 

ledit dispositif pilote est appele 

* dispositif demonstrateur dans le cas de la preuve de I'authenticite 
d'une entite ou de rauthenticit6 d'un message, 

* dispositif de signature dans les cas de la preuve de Torigine et de 
rintegrite d'un message, 
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- une troisieme entity appel6e dispositif contr61eur se pr6sentant 
notamment sous la forme d'uri terminal et/ou d'un serveur distant connecte 
k un reseau de communication informatique, 

ledit dispositif contr6Ieur comporte des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique audit dispositif temoin, 

ledit dispositif contrSleur verifie I'authentification ou I'origine et Tintegrite 
d'un message, 

ledit dispositif t6moin regoit du dispositif pilote ou du dispositif controleur 
un ou plusieurs defis d tel que 0 ^ d ^ vx - 1 et comporte des deuxi^mes 
moyens de calcul pour calculer a partir dudit defi d une ou plusieurs 
rdponses D en effectuant des operations du type : 

s r, . QA, . QB, mod p, 

oh r, est un entier, associe au nombre premier p., tel que 0 < r, < p, , chaque 
r, appartenant a une collection d'aleas {r„ r„ r,, ...}, 

le temoin tire au hasard une ou plusieurs collections d'aldas de telle sorte 
que, pour chaque exposant public de verification v, il y a autant 
d'engagements R que de collections d'al6as {r,, r^, r,, ... }, 
de sorte que le nombre d' operations arithmetiques modulo p, a effectuer par 
lesdits deuxiemes moyens de calcul pour calculer chacune des reponses D, 
pour chacun des p, est r6duit par rapport a ce qu'il serait si les operations 
6taient effectu6es modulo n, 

ledit dispositif controleur, recevant une ou plusieurs r6ponses D, comporte 
des troisiemes moyens de calcul pour calculer a partir desdites reponses D 
des engagements R'en effectuant des operations du type : 

R' = GA ''\ GB D'^ mod n 

ou du type : 

R' • GA ^ . GB . ... = D" mod n 

ledit dispositif contrdleur comporte des quatiiemes moyens de calcul pour 
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verifier que les triplets {R', d, D} sont coherents. 

12. Syst&me pour diminuer la charge de travail pendant une session 
destinee a prouver a un contrSleur, 

- r authenticity d'une entit6 et/ou 

- Torigine et Tintegrite d'un message m, 
ledit precede met en oeuvre trois entites : 

- une premi&re entite appelee dispositif temoin, contenue notamment 
dans un objet nomade se prdsentant par exemple sous la forme d'une carte 
bancaire a microprocesseur, 

ledit dispositif temoin dispose d'une premiere zone memoire con tenant des 
facteurs premiers Pj, p^, ... (p, , ...) (i etant superieur ou egal a 2) d'un 
module public n tel que n = Pj.Pj. Pj^ , 

ledit dispositif temoin dispose aussi d'une deuxieme zone memoire 
contenant 

* des composantes QA,, QA^, ... (QA. , ...), et QB,, QB^, ... (QB, , 
...)> representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ay ant respectivement pour 
composantes GA^, GA^, ... (GA., ...) et GB„ GB^, ... (GB,, ...) 

* un exposant public de verification v 

lesdites paires de cles privees et publiques etant liees par des relations du 
type : 

GA.QA' mod n = 1 ou GA s QA'mod n 

ledit dispositif temoin comporte aussi des premiers moyens de calcul pour 
calculer des engagements R, 

• en effectuant des operations du type : 

R, = r;modp, 

oil r. est un entier, tire au hasard, associe au nombre premier p., tel que 0 < 
r. < p. , chaque r appartenant a une collection d'aleas {Fj, r^, r^y ...}, 

• puis en appliquant la m6thode des restes chinois, 
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le temoin tire au hasard une ou plusieurs collections d'al6as de telle sorte 
qu'il y a autant d'engagements R que de collections d'aleas {r,, r,, r,, ... }, 
de sorte que le nombre d'op6rations arithmetiques modulo p, k effectuer par 
lesdits premiers moyens de calcul pour calculer chacun des R, pour chacun 
des p, est reduit par rapport k ce qu'il serait si les operations 6taient 
effectuees modulo n, 

- une deuxieme entite, appel6e dispositif pilote dudit dispositif 
temoin, pouvant 6tre 6galement contenue notamment dans ledit objet 
nomade, 

ledit dispositif pilote est appel6 

* dispositif ddmonstrateur dans le cas de la preuve de I'authenticite 
d'une entity ou de I'authenticite d'un message, 

* dispositif de signature dans les cas de la preuve de I'origine et de 
rint6grit6 d'un message, 

- une troisieme entit6, appelee dispositif contrdleur, se presentant 
notamment sous la forme d'un terminal et/ou d'un serveur distant connecte 
a un r^seau de communication informatique, 

ledit dispositif contrSleur comporte des moyens de connexion pour le 
connecter 61ectriquement, electromagn^tiquement, optiquement ou de 
manifere acoustique audit dispositif temoin, 

ledit dispositif contr61eur verifie I'authentification ou I'origine et l'int6grite 
d'un message, 

ledit dispositif temoin regoit du dispositif pilote ou du dispositif contrSleur, 
des collections de defis d {dA, dB, ...} tels que 0 ^ dA < v - 1, le nombre 
des collections de defis d etant 6gal au nombre d'engagements R, chaque 
collection {dA, dB, ...} comprenant un nombre de defis ^gal au nombre de 
paires de cl6s, 

ledit dispositif temoin comporte des deuxiemes moyens de calcul pour 
calculer k partir de chacune desdites collections de defis {dA, dB, ...} des 



122 



reponses D 

• en effectuant des operations du type : 

D. s r,. QA, . QB, • ... mod p, 

• puis en appliquant la methode des restes chinois» 

de telle sorte qu'il y a autant de reponses D que d' engagements R et de 
defis d, 

de sorte que le nombre d' operations arithmetiques modulo p. k effectuer par 
lesdits deuxiemes moyens de calcul pour calculer chacun des D, pour 
chacun des p. est reduit par rapport a ce qu'il serait si les operations 6taient 
effectu6es modulo n, 

ledit dispositif contrdleur, recevant une ou plusieurs reponses D, comporte 
des troisiemes moyens de calcul pour calculer a partir desdites reponses D 
un engagement R' en effectuant des operations du type : 

R'=GA'^.GB*'\ O..D' modn 

ou du type : 

R'. GA GB ...s mod n 

ledit dispositif contrSleur comporte des quatriemes moyens de calcul pour 
verifier que les triplets {R% d, D} sont coherents. 

13. Systeme selon la revendication 12 pour diminuer la charge de 
travail pendant une session destinee a prouver a un contrSleur Tauthenticite 
d'une entite ; 

ledit procede met en oeuvre trois entit6s : 

1 - une premiere entite, appelee dispositif temoin, contenue 
notanunent dans un objet nomade se presentant par exemple sous la forme 
d'une carte bancaire a microprocesseur, 

ledit dispositif temoin dispose d'une premiere zone memoire contenant des 
facteurs premiers p„ p^, ... (Pj , ...) (i etant superieur ou egal a 2) d'un 
module public n tel que n = p^.Pj. Pj* * 

ledit dispositif temoin dispose aussi d'une deuxieme zone memoire 
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contenant : 

* des composantes QA„ QA„ ... (QA,, ...), et QB„ QB„ ... (QB,, 
...),..., representant des cl6s pri vees QA, QB, ... 

* des cl6s publiques GA, GB, ... ayant respectivement pour 
composantes GA„ GA„ ... (GA„ ...) et GB„ GB„ ... (GB„ ...) 

* un exposant public de verification v 

lesdites paires de cMs pri vees et publiques 6tant liees par des relations du 
type : 

GA.Q A" mod n ^ 1 ou GA = Q A' mod n 

2 - une deuxifeme entite appelee dispositif d^monstrateur dudit 
dispositif temoin, pouvant gtre 6galement contenue notamment dans ledit 
objet nomade, 

3 - une troisifeme entite appelee dispositif contrdleur se presentant 
sous la forme d'un tenninal et/ou d'un serveur distant connecte a un reseau 
de communication informatique, 

ledit dispositif contrdleur comporte des moyens de connexion pour le 
connecter 61ectriquement, electromagnetiquement, optiquement ou de 
maniere acoustique audit dispositif temoin, 

pour prouver I'authenticite d'une entite, ledit dispositif temoin, ledit 
dispositif d^monstrateur et ledit dispositif contrdleur ex6cutent les etapes 
suivantes : 

• etape 1. engagement R du dispositif temoin : 

- le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et en prive, a chaque appel, au moins une collection de nombres 
entiers {r„ r^, ...},telle que pour chaque facteur premier p., chaque 
collection comporte un alea r.positif et plus petit que p, , 

- le dispositif temoin comporte des deuxifemes moyens de calcul pour elever 
chaque al6a r, k la puissance v ieme modulo p. , pour chaque facteur 
premier p. , 
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= r; mod p. 

de sorte que le nombre d' operations arithmetiques modulo p. k effectuer par 
les deuxiemes moyens de calcul pour calculer chacun des R, pour chacun 
des p. est reduit par rapport a ce qu'il serait si les operations etaient 
effectu6es modulo n, 

- puis, lesdits deuxiemes moyens de calcul dudit dispositif temoin 
etablissent chaque engagement R modulo n selon la methode des testes 
chinois, 

de telle sorte qu'il y a autant d' engagements R que de collections d'aleas 

• etape 2. defi d destine au dispositif temoin : 

- le dispositif demonstrateur comporte des moyens de transmission pour 
transmettre tout ou partie de chaque engagement R au dispositif 
controleur, 

- le dispositif controleur comporte des troisiemes moyens de calcul pour 
calculer, aprfes avoir refu tout ou partie de chaque engagement R, au moins 
une collection de defis d {dA, dB, ...} tels que 0 < dA < v - 1, le nombre 
des collections de defis d etant egal au nombre d'engagements R, chaque 
collection {dA, dB, ••.} comprenant un nombre de defis egal au nombre de 
paires de cles, 

• etape 3. reponse du dispositif temoin au defi d : 

- ledit dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D ,a partir desdites collections de defis d {dA, dB, 
...} refues du dispositif controleur, 

en effectuant des operations du type : 

D. = r, . QA. . QB. . ... mod p. 
puis en appliquant la methode des restes chinois, 

de sorte que le nombre d' operations arithmetiques modulo p. a effectuer 
par les quatriemes moyens de calcul pour calculer chacun des D. pour 
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chacun des p, est reduit par rapport a ce qu'il serait si les operations etaient 
effectuees modulo n, 

de telle sorte qu'il y a autant de reponses D calcul6es par le t^moin que 
d'engagements R et de defis d, 

• etape 4. doniiees destinies au dispositif contrdleur : 

- le demonstrateur comporte des moyens de transmission pour transmettre 
au dispositif contrdleur chaque r^ponse D, 

• etape 5. verification par le dispositif contrdleur : 

ledit dispositif contrdleur comporte des cinquifemes moyens de calcul pour 
calculer k partir de chaque r^ponse D un engagement R' en effecmant des 
operations du type : 

R'— GA GB ...D" mod n 

ou du type : 

R'« GA ^. GB **". ...= D' mod n 

ledit dispositif contrdleur comporte des sixiemes moyens de calcul pour 
comparer et verifier que chaque engagement reconstruit R' reproduit tout 
ou partie de chaque engagement R transmis k I'dtape 2 par le dispositif 
demonstrateur. 

14. Systeme selon la revendication 12 pour diminuer la charge de 
travail pendant une session destin^e k prouver k un contrdleur I'authenticite 
d'un message m, 

ledit proc6de met en oeuvre trois entites : 

1 - une premiere entite appelee dispositif temoin, contenue 
notamment dans un objet nomade se presentant par exemple sous la forme 
d'une carte bancaire a microprocesseur, 

ledit dispositif temoin dispose d'une premiere zone memoire contenant des 
facteurs premiers p„ p,, ... (p, , ...) (i etant sup^rieur ou egal a 2) d'un 
module public n tel que n = p,.pj. , 

ledit dispositif temoin dispose aussi d'une deuxieme zone memoire 
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contenant 

* des composantes QA„ QA^, ... (QA. , ...), et QB„ QB^, ... (QB,, 
...), . . representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GAj, GA^, ... (GA., ...) et GB^, GB^, ... (GB., ...) 

* un exposant public de verification v 

lesdites paires de cles privees et publiques etant liees par des relations du 
type : 

GA.QA' mod n = 1 ou GA s QA'mod n 

2 - une deuxieme entite, appelee demonstrateur dudit dispositif 
temoin, pouvant etre egalement contenue notamment dans ledit objet 
nomade, 

3 - une troisieme entite appelee dispositif controleur se presentant 
sous la forme d'un terminal et/ou d'un serveur distant connecte k un reseau 
de communication informatique, 

ledit dispositif controleur comporte des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique audit dispositif temoin, 

pour prouver I'authenticite d'un message ledit dispositif temoin, ledit 
dispositif demonstrateur et ledit dispositif controleur executent les etapes 
suivantes : 

* etape 1. engagement R du dispositif temoin : 

- ledit dispositif temoin comporte des premiers moyens de calcul pour tirer 
au hasard et en prive, a chaque appel, au moins une collection de nombres 
entiers {r^, r^, Fj, ...}, telle que pour chaque facteur premier p^, chaque 
collection comporte un alea r. positif et plus petit que p. , 

- ledit dispositif temoin comporte des deuxiemes moyens de calcul pour 
elever chaque alea r h la puissance v ieme modulo p. , pour chaque facteur 
premier p. , 
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R, = r," mod p, 

de sorte que le nombre d' operations arithm6tiques modulo p, a effectuer par 
les deuxiemes moyens de calcul pour calculer chacun des R. pour chacun 
des p, est reduit par rapport a ce qu'il serait si les operations dtaient 
effectu6es modulo n, 

- puis, lesdits deuxiemes moyens de calcul dudit dispositif temoin 
6tablissent chaque engagement R modulo n selon la methode des restes 
chinois, 

de telle sorte qu'il y a autant d'engagements R que de collections d'aleas 

• etape 2. defi d destine au dispositif temoin : 

- le dispositif d6monstrateur comporte des premiers moyens de calcul pour 
calculer, en appliquant une fonction de hachage f ayant comme arguments 
le message m et chaque engagement R pour un jeton T, 

- ledit dispositif demonstrateur comporte des moyens de transmission pour 
transmettre le jeton T au dispositif contr61eur 

- ledit dispositif controleur comporte des troisiemes moyens de calcul pour 
calculer, aprfes avoir re9u le jeton T, au moins une collection de defis d 
{dA, dB, ...} tels que 0 < dA < v - 1, le nombre des collections de defis d 
6tant egal au nombre d'engagements R, chaque collection {dA, dB, ...} 
comprenant un nombre de defis egal au nombre de paires de cles, 

• etape 3. reponse du dispositif temoin au defi d : 

- ledit dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D, a partir desdites collection de defis d {dA, dB, ...} 
refues du dispositif controleur 

en effectuant des operations du type : 

D, = r,. QA, . QB,*^ . ... mod p, 
puis en appliquant la methode des restes chinois, 

de sorte que le nombre d' operations arithmetiques modulo p, a effectuer 
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par les quatriemes moyens de calcul pour calculer chacun des D, pour 
chacun des p. est reduit par rapport a ce qu'il serait si les operations etaient 
effectuees modulo n, 

de telle sorte qu'il y a autant de reponses D calculees par le temoin que 
d' engagements R et de defis d, 

• etape 4. donnees destinees au dispositif controleur : 

- le demonstrateur comporte des moyens de transmission pour transmettre 
au dispositif qontroleur chaque reponse D, 

• etape 5. verification par le dispositif controleur : 

ledit dispositif controleur comporte des cinquiemes moyens de calcul pour 
calculer a partir de chaque reponse D un engagement R' en effectuant des 
operations du type : 

R'=GA'\ GB**^. ...D' modn 

ou du type : 

R' .GA'\ GB = mod n 
ledit dispositif controleur comporte des sixiemes moyens de calcul pour 
calculer, en appliquant la fonction de hachage f ayant comme arguments le 
message m et chaque engagement R% le jeton T', 

ledit dispositif controleur comporte des septiemes moyens de calcul pour 
comparer et verifier que le jeton T' est identique au jeton T transmis a 
r etape 2 par le dispositif demonstrateur. 

15. Systeme selon la revendication 12 pour diminuer la charge de 
travail pendant une session destinee a prouver a un controleur la signature 
numerique d'un message m, 
ledit procede met en oeuvre trois entites : 

1 - une premiere entite, appelee dispositif temoin, contenues 
notamment dans un objet nomade se presentant par exemple sous la forme 
d'une carte bancaire a microprocesseur, 

ledit dispositif temoin comporte une premiere zone memoire contenant des 
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facteurs premiers p„ p,, ... (p. , ...) (i 6tant supdrieur ou egal a 2) d'un 
module public n tel que n = p,.pj. 

ledit dispositif temoin comporte aussi une deuxifeme zone raemoire 
contenant : 

* des composantes QA., QA„ ... (QA,, ...). et QB., QB„ ... (QB., 
...), repr^sentant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA„ GA„ ... (GA,, ...) et GB„ GB„ ... (GB„ ...) 

* un exposant publique de verification v 

lesdites paires de cl6s privies et publiques etant lies par des relations du 
type : 

GA.QA* mod n = 1 ou GA = QA'mod n 

2 - une deuxieme entite appelee dispositif de signature, pouvant 6tre 
6galement contenue notamment dans ledit objet nomade, 

3 - une troisieme entite appelee dispositif controleur se presentant 
sous la forme d'un terminal et/ou d'un serveur distant connecte h un reseau 
de communication informatique, 

ledit dispositif controleur comporte des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique audit dispositif temoin, 

pour prouver la signature d'un message ledit dispositif temoin, ledit 
dispositif demonstrateur et ledit dispositif controleur ex6eutent les etapes 
suivantes : 

• etape 1. engagement R du temoin : 

- le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et en prive, a chaque appel, au moins une collection de nombres 
enUers {r,, r^, Tj, ...},telle que pour chaque facteur premier p., chaque 
collection comporte un al6a r.positif et plus petit que p, , 

- le dispositif t6moin comporte des deuxiemes moyens de calcul pour clever 
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chaque al6a r, k la puissance v i6me modulo Pj, pour chaque facteur premier 
Pi. 

R, = r;modp. 

de sorte que le nombre d' operations arithm6tiques modulo p. k effectuer par 
les deuxifemes moyens de calcul pour calculer chacun des R. pour chacun 
des p, est rdduit par rapport k ce qu'il serait si les operations etaient 
effectu6es modulo n, 

- puis, lesdits deuxiemes moyens de calcul dudit dispositif temoin 
6tablissent chaque engagement R modulo n selon la m6thode des restes 
chinois, 

de telle sorte qu*il y a autant d' engagements R que de collections d'aleas 

• etape 2. defi d destine au dispositif temoin : 

- ledit dispositif de signature comporte des troisifemes moyens de calcul 
pour calculer, en appliquant une fonction de hachage f ayant conune 
arguments le message m et chaque engagement R, au moins une collection 
de defis d {dA, dB, ...} tels que 0 < dA < v - 1, le nombre des collections 
de defis d etant egal au nombre d' engagements R, chaque collection {dA, 
dB, ...} comprenant un nombre de defis egal au nombre de paires de cl€s, 

- le dispositif de signature transmet les collections de defis d au 
temoin, 

• etape 3. reponse du dispositif temoin au den d : 

- ledit dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D, a partir desdites collections de defis d {dA, dB, 
• ..} revues du dispositif controleur, 

en effectuant des operations du type : 

D. - r, . QA, . QB. . mod p. 
puis en appliquant la methode des restes chinois, 

de sorte que le nonjbre d' operations arithmetiques modulo p, k effectuer 
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par les quatriemes moyens de calcul pour calculer chacun des D, pour 
chacun des p, est r6duit par rapport h ce qu'il serait si les op6rations 6taient 
effectu6es modulo n, 

de telle sorte qu'il y a autant de reponses D calcul6es par le temoin que 
d' engagements R et de defis d, 

- ledit dispositif t6moin comporte des moyens de transmission pour 
transmettre les r6ponses D au dispositif de signature et/ou au dispositif 
contrSleur, 

• etape 4. donnees destines au dispositif contrdleur : 

- le dispositif de signature transmet au dispositif contrfileur un message 
sign6 comprenant : 

/ le message m, 

/ les collections de defis d ou les engagements R, 
/ chaque rdponse D 

• etape 5. verification par le dispositif contrdleur : 
cas ou le dispositif contrdleur revolt la collection des d^fis d, 

dans le cas oil le dispositif contrdleur regoit les collections des defis d et 
des reponses D, ledit dispositif contr61eur comporte des cinquiemes moyens 
de calcul pour calculer k partir de chaque r^ponse D un engagement R» en 
effectuant des operations du type : 

R'= GA GB D" mod n 

ou du type : 

R' . GA GB *"....= mod n 

ledit dispositif contrdleur comporte des sixiemes moyens de calcul pour 
calculer chaque d6fi d% en appliquant la fonction de hachage f ayant 
comme arguments le message m et chaque engagement reconstruit R*. 
ledit dispositif contrdleur comporte des septiemes moyens de calcul pour 
comparer et verifier que chaque d6fi d' est identique au defi d figurant dans 
le message sign6. 
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cas ou le dispositif contrdleur regoit la collection des engagements R 

dans le cas oil le dispositif contrdleur re^oit la collection des engagements 
R et des r6ponses D, ledit dispositif controleur comporte des cinquiemes 
moyens de calcul pour calculer chaque defi d', en appliquant la fonction de 
hachage f ayant comme arguments le message m et chaque engagement R, 
ledit dispositif controleur comporte des sixiemes moyens de calcul pour 
calculer alors la collection des engagements R' en effectuant des operations 
du type 

R's GA GB ..-D' mod n 

ou du type : 

R' . GA GB '^ mod n 

ledit dispositif contrdleur comporte des septiemes moyens de calcul pour 
comparer et verifier que chaque engagement R' reconstniit est identique a 
r engagement R figurant dans le message signe. 

16, Systeme selon Tune quelconque des revendications 11 a 15 tel 
que les composantes QA^ QA^, ... (QA. , ...), et QB,, QB^, ... (QB. , ...), 
... des cles privees QA, QB, ... sont des nombres tires au hasard k raison 
d*une composante QA. , QB. , ... pour chacun desdits facteurs premiers p., 
lesdites cles privees QA, QB, pouvant etre calculees k partir desdites 
composantes QA,, QA^, ... (QA., ...), et QB,, QB^, ... (QB., ...), ... par la 
methode des restes chinois, 

ledit dispositif temoin comportant des huitiemes moyens de calcul pour 
calculer lesdites cles publiques GA, GB, 

• en effectuant des operations du type : 

GA.S QA/modp. 

• puis en appliquant la methode des restes chinois pour etablir GA tel que 

GAsQA*modn 

ou bien tel que 

GA.QA' mod n s 1 
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de sorte que le nombre d'op6rations arithmetiques modulo p, k effectuer par 
les huitiemes moyens de calcul dudit dispositif t6moin pour calculer chacun 
des GA, pour chacun des p, est reduit par rapport a ce qu'il serait si les 
operations 6taient effectu6es modulo n, 

17. Systfeme selon la revendication 16 tel que I'exposant public de 
verification v est un nombre premier, 

de sorte que la paire de cl6s GA. QA confere une security equivalente k la 
connaissance de la cl6 priv6e QA. 

18. Systeme selon Tune quelconque des revendications 11 a 15 tel 
que I'exposant public de verification v est du type 

v = a'' 

oil k est un param^tre de securite plus grand que 1 . 

19. Systfeme selon la revendication 18 tel que : 

- I'exposant public de verification v est du type 

v = 2'' 

oii k est un parametre de securite plus grand que 1 , 

- la cle publique GA est un carre gA* infdrieur k n choisi de telle 
sorte que les deux equations 

x*sgAmodn et x^^-gAmodn 
n'ont pas de solution en x dans I'anneau des entiers modulo n 

- ledit dispositif temoin comportant des neuvifemes moyens de calcul 
pour calculer les dites composantes QA„ QA,, ... (QA, , ...) de la cle 
privee QA en appliquant des formules telles que : 

GA= QA, mod p, 

ou bien telles que : 

GA .QA, ''^'*'mod p.= 1 
et en extrayant la k i^me racine carree de GA dans le coqjs de Galois 
CG(p,) 

de sorte que le nombre d'operations arithmetiques modulo p, a effectuer 
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par les neuviemes moyens de calcul du dispositif temoin pour calculer 
chacun des QA. pour chacun des p, est reduit par rapport k ce qu'il serait si 
les operations etaient effectu6es modulo n, 

de sorte que la paire de cles GA, QA confere une s6curite 6quivalente k la 
connaissance de la factorisation de n. 

20. Systeme selon la revendication 19 tel que pour extraire la k ifeme 
racine carr6e de GA dans le corps de Galois CG(p.), 

* dans le cas on le facteur premier p, est congru a 3 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme du type : 

X = (p+l)/4 ; y = mod (p-1) ; z = y ; QA. = GA' mod p. 

* dans le cas ou le facteur premier p, est congru k 1 modulo 4, les 
neuvi&mes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme base sur les suites de Lucas. 

21o Objet nomade, se presentant par exemple sous la forme d*une 
carte bancaire a microprocesseur, pour diminuer la charge de travail 
pendant une session destinee a prouver a un serveur controleur, 

- I'authenticite d'une entite et/ou 

- I'origine et I'integrite d'un message m, 
ledit objet nomade faisant intervenir trois entites : 

- une premiere entite, appelee dispositif temoin, contenue dans ledit 
objet nomade, 

ledit dispositif temoin dispose d'une premiere zone memoire contenant des 
facteurs premiers p^, p^, ... (p. , ...) (i etant superieur ou egal k 2) d*un 
module public n tel que n = Pj.Pj- P3. ... , 

ledit dispositif temoin dispose aussi d'une deuxieme zone memoire 
contenant : 

* des composantes QA^ QA^, ... (QA. , ...), et QB^, QB^, ... (QB., 
...), repr6sentant des cles privees QA, QB, ... 
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* des cles pubUques GA, GB. ... ayant respectivement pour 
composantes GA., GA„ ... (GA„ ...) et GB„ GB„ ... (GB„ ...) 

* des exposants publics de verification vx, vy, ... 

lesdites cles priv^s et cl6s pubUques ^tant U6es par des relations du type : 

GA.QA" mod n ^ 1 ou GA = QA"mod n 
ledit dispositif temoin comporte aussi des premiers moyens de calcul pour 
calculer des engagements R eri^ffectuant des operations du type : 

R, = r " mod p, 
oh r, est un al^a tel que 0 < r, < p,, 

de sorte que le nombre d'operations arithm^tiques modulo p, k effectuer par 
lesdits premiers moyens de calcul pour calculer chacun des R, pour chacun 
des p, est r6duit par rapport a ce qu'il serait si les operations etaient 
effectuees modulo n, 

- une deuxidme entite, appelee dispositif pilote dudit dispositif 
temoin, pouvant Stre egalement contenue dans ledit objet nomade, 

ledit dispositif pilote est appel^ 

* dispositif d6monsti-ateur dans le cas de la preuve de l'authenticit6 
d'une entite ou de 1' authenticity d'un message, 

* dispositif de signature dans les cas de la preuve de I'origine et de 
r integrity d'un message, 

- une troisifeme entitd appel6e dispositif conti-61eur se pr6sentant 
notamment sous la forme d'un terminal et/ou d'un serveur distant connect^ 
k un reseau de communication informatique, 

ledit dispositif contrdleur verifie I'autfientification ou I'origine et I'integrite 
d'un message, 

ledit objet nomade comporte des moyens de connexion pour connecter 
electiiquement, 61ecti-omagnetiquement, optiquement ou de manifere 
acoustique ledit dispositif temoin et/ou ledit dispositif pilote audit dispositif 
controleur. 
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ledit dispositif temoin re^oit du dispositif pilote ou du dispositif contrdleur 
un ou plusieurs defis d tel que 0<d<vx-let comporte des deuxifemes 
moyens de calcul pour calculer a partir dudit defi d une ou plusieurs 
reponses D en effectuant des operations du type : 

D. = r . QA. '^.QB^^ . ... mod p. 
ou r est un entier, associe au nombre premier p., tel que 0 < r, < p. , chaque 
r appartenant a une collection d'aleas {r^ r^, Tj, ...}, 

le temoin tire au hasard une ou plusieurs collections d'aleas de telle sorte 
que, pour chaque exposant public de verification v, il y a autant 
d'engagements R que de collections d'aleas {r,, r^, r^, ... }, 
de sorte que le nombre d' operations arithmetiques modulo p. a effectuer par 
lesdits deuxiemes moyens de calcul pour calculer chacune des reponses D. 
pour chacun des p. est reduit par rapport a ce qu'il serait si les operations 
etaient effectuees modulo n, 

ledit objet nomade comporte des moyens de transmission pour transmettre 
audit dispositif contr61eur la ou les dites reponses D. 

22. Objet nomade se presentant par exemple sous la forme d'une 
carte bancaire a microprocesseur, pour diminuer la charge de travail 
pendant une session destinee a prouver a un contrdleur, 

- I'authenticite d'une entite et/ou 

- I'origine et I'integrite d'un message m, 
ledit objet nomade faisant intervenir trois entites: 

- une premiere entite, appelee dispositif temoin, contenue dans ledit 
objet nomade, 

ledit dispositif temoin dispose d'une premiere zone fnemoire contenant des 
facteurs premiers p„ P2, — (P; , ...) (i etant superieur ou egal a 2) d'un 
module public n tel que n = Pi^Pj- Pj. ... , 

ledit dispositif temoin dispose aussi d'une deuxieme zone memoire 
contenant 
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* des composantes QA„ QA,, ... (QA ), et QB„ QB„ ... (QB,, 

...), representant des cl6s privies QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA„ GA„ ... (GA„ ...) et GB„ GB„ ... (GB„ ...) 

* un exposant public de verification v 

lesdites paires de cles privees et publiques etant liees par des relations du 
type: 

GA.QA' mod n = 1 ou GA = QA'mod n 

ledit dispositif temoin comporte aussi des premiers moyens de calcul pour 
calculer des engagements R, 

• en effectuant des operations du type : 

R. = r." mod p. 

oil r, est un entier, tird au hasard, associe au nombre premier p., tel que 0 < 
r. < p. , chaque r, appartenant a une collection d'aleas {r„ r,, r , ...}, 

• puis en appliquant la methode des restes chinois, 

le temoin tire au hasard une ou plusieurs collections d'al6as de telle sorte 
qu'il y a autant d'engagements R que de collections d'al6as {r,, r^, r,, ... }, 
de sorte que le nombre d' operations arithmetiques modulo p, a effectuer par 
lesdits premiers moyens de calcul pour calculer chacun des R, pour chacun 
des p, est reduit par rapport a ce qu'il serait si les operations etaient 
effectuees modulo n, 

- une deuxi^me entity, appel6e dispositif pilote dudit dispositif 
t6moin, pouvant etre egalement contenue dans ledit objet nomade, 

ledit dispositif pilote est appele 

* dispositif demonstrateur dans le cas de la preuve de I'authenticite 
d'une entite ou de Tauthenticite d'un message, 

* dispositif de signature dans le cas de la preuve de I'origine et de 
I'integrite d'un message, 

- une troisieme. entite, appelee dispositif contrdleur, se presentant 
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notamment sous la fonne d'un terminal et/ou d'un serveur distant connecte 
a un reseau de communication infomiatique, 

ledit dispositif contrdleur verifie rauthentification ou I'origine et T integrity 
d'un message, 

ledit objet nomade comporte des moyens de connexion pour connecter 
electriquement, electromagnetiquement, optiquement ou de maniere 
acoustique ledit dispositif temoin et/ou ledit dispositif pilote audit dispositif 
contrSleur, 

ledit dispositif temoin re9oit du dispositif pilote ou du dispositif contrdleur, 
des collections de defis d {dA, dB, ...} tels que 0 < dA < v - 1, le nombre 
des collections de defis d etant egal au nombre d' engagements R, chaque 
collection {dA, dB, ...} comprenant un nombre de defis egal au nombre de 
paires de cles, 

ledit dispositif temoin comporte des deuxiemes moyens de calcul pour 
calculer a partir de chacune desdites collections de defis {dA, dB, ...} des 
reponses D 

• en effectuant des operations du type : 

R = r . QA ^ . QB. mod p, 

• puis en appliquant la methode des restes chinois, 

de telle sorte qu'il y a autant de reponses D que d' engagements R et de 
defis d, 

de sorte que le nombre d' operations arithmetiques modulo Pj a effectuer par 
lesdits deuxiemes moyens de calcul pour calculer chacun des pour 
chacun des p. est reduit par rapport a ce qu'il serait si les operations etaient 
effectuees modulo n, 

ledit objet nomade comporte des moyens de transmission pour transmettre 
audit dispositif controleur la ou lesdites reponses D. 

23. Objet nomade selon la revendication 22 pour diminuer la charge 
de travail pendant une session destinee a prouver a un dispositif controleur 
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rauthenticit6 d'une entity ; 

ledit objet nomade faisant intervenir trois entites : 

1 - une premiere entity, appel6e dispositif temoin, contenue dans 
ledit objet nomade, 

ledit dispositif temoin comporte une premiere zone memoire contenant des 
facteurs premiers p„ p„ ... (p, , ...) (i gtant superieur ou egal k 2) d'un 
module public n tel que n = p,.p^. p,. ... , 

ledit dispositif temoin comporte aussi une deuxieme zone memoire 
contenant : 

* des composantes QA„ QA„ ... (QA,, ...), et QB„ QB„ ... (QB,, 
...),..., repr^sentant des cles pri vees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA„ GA„ ... (GA ) et GB„ GB„ ... (GB„ ...) 

* un exposant public de verification v 

lesdites paires de cl6s privees et publiques dtant liees par des relations du 
type: 

GA.QA' mod n h 1 ou GA = QA'mod n 

2 - une deuxieme entite, appelee dispositif demonstrateur dudit 
dispositif temoin, pouvant etre egalement contenue dans ledit objet 
nomade, 

3 - une troisieme entite appelee dispositif controleur se pr6sentant 
notamment sous la forme d'un terminal et/ou d'un serveur distant connecte 
a un reseau de communication informatique, 

ledit objet nomade comporte des moyens de connexion pour connecter 
electriquement, electromagn6tiquement, optiquement ou de maniere 
acoustique ledit dispositif temoin et/ou ledit dispositif demonstrateur audit 
dispositif controleur, 

pour prouver I'authenticite d'une entite, ledit objet nomade execute les 
6tapes suivantes : 
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• etape 1. engagement R du dispositif temoin : 

- le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et en prive, a chaque appel, au moins une coDection de nombres 
entiers {r,, r^, r,, ...}, telle que pour chaque facteur premier Pj, chaque 
collection comporte un alea rpositif et plus petit que p, , 

- le dispositif temoin comporte des deuxi&mes moyens de calcul pour elever 
chaque alea r. a la puissance v ieme modulo Pj , pour chaque facteur 
premier p^ , 

R. = r; mod p. 

de sorte que le nombre d' operations arithmetiques modulo p. a effectuer par 
les deuxiemes moyens de calcul pour calculer chacun des R. pour chacun 
des p. est reduit par rapport a ce qu'il serait si les operations etaient 
effectuees modulo n, 

- puis, lesdits deuxiemes moyens de calcul dudit dispositif temoin 
etablissent chaque engagement R modulo n selon la methode des restes 
chinois, 

de telle sorte qu'il y a autant d' engagements R que de collections d'aleas 

• etape 2. transmission des engagements R et reception des defis 
d destines au dispositif temoin : 

- ledit objet nomade comporte des moyens de transmission pour transmettre 
au dispositif controleur tout ou partie de chaque engagement R, 

- ledit objet nomade comporte des moyens de reception pour recevoir des 
collections de defis d {dA, dB, ...} produits par ledit dispositif contrdleur, 

• etape 3. reponse du dispositif temoin airx defis d : 

- ledit dispositif temoin comporte des troisiemes moyens de calcul pour 
calculer des reponses D , a partir desdites collections de defis d {dA, dB, 
.•.} refues du dispositif controleur, 

en effectuant des operations du type : 
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Rsr,.QA,*^.QB,'"....modp, 

puis en appliquant la m6thode des restes chinois, 

de sorte que le nombre d'operations arithm^tiques modulo p. k effectuer par 
les troisifemes moyens de calcul pour calculer chacun des D, pour chacun 
des p, est reduit par rapport k ce qu'il serait si les operations etaient 
effectuees modulo n, 

de telle sorte qu'il y a autant de reponses D calculees par le t6moin que 
d' engagements R et de d6fis d, 

• etape 4. donnees destinees au dispositif controleur : 

- ledit objet nomade comporte des moyens de transmission pour transmettre 
au dispositif contrdleur chaque reponse D, 

• etape 5. verification par le dispositif controleur : 

ledit dispositif controleur v6rifie la coherence des triplets {R, d, D} et 
I'authenticite de 1' entit6 controlee. 

. 24. Objet nomade selon la revendication 22 pour diminuer la charge 
de travail pendant une session destinee a prouver a un contrdleur 
I'authenticite d'un message m, 
ledit objet nomade faisant intervenir trois entites : 

1 - une premiere entite, appelee dispositif temoin, contenue dans 
ledit objet nomade, 

ledit dispositif temoin comporte une premiere zone memoire contenant des 
facteurs premiers p„ p„ ... (p , ...) (i ^tant superieur ou egal k 2) d'un 
module public n tel que n = p,.pj. p^. ... , 

ledit dispositif temoin comporte aussi une deuxieme zone memoire 
contenant 

* des composantes QA„ QA„ ... (QA, ...), et QB„ QB„ ... (QB,, 
...), .... representant des cles privees QA, QB, ... 

* des cI6s publiques GA, GB. ... ayant respectivement pour 
composantes GA., GA„ ... (GA,, ...) etGB., GB„ ... (GB„ ...) 
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* un exposant public de verification v 
lesdites paires de cles privees et publiques etant liees par des relations du 
type: 

GA.QA' mod n s 1 ou GA = QA'mod n 

2 - une deuxieme entite, appelee demonstrateur dudit dispositif 
temoin, pouvant etre egalement contenue dans ledit objet nomade, 

3 - une troisieme entite appelee dispositif controleur se presentant 
sous la forme d'un terminal et/ou d'un serveur distant connecte k un reseau 
de communication informatique, 

ledit objet nomade comporte des moyens de connexion pour connecter 
electriquement, electromagnetiquement, optiquement ou de mani^re 
acoustique ledit dispositif temoin et/ou ledit dispositif demonstrateur audit 
dispositif contrSleur, 

pour prouver Tauthenticite d'un message ledit objet nomade execute les 
etapes suivantes : 

• etape 1. engagement R du dispositif temoin : 

- ledit dispositif temoin comporte des premiers moyens de calcul pour tirer 
au hasard et en prive, a chaque appel, au moins une collection de nombres 
entiers {r,, r^, r^y ••.},telle que, pour chaque facteur premier p^, chaque 
collection comporte un alea r. positif et plus petit que p. , 

- ledit dispositif temoin comporte des deuxiemes moyens de calcul pour 
elever chaque alea r. k la puissance v ieme modulo p. , pour chaque facteur 
premier p. , 

R = r.'' mod p. 

(de sorte que le nombre d' operations arithmetiques modulo p. a effectuer 
par les deuxiemes moyens de calcul pour calculer chacun des R, pour 
chacun des Pj est reduit par rapport a ce qu'il serait si les operations etaient 
effectuees modulo n, 

- puis, lesdits deuxiemes moyens de calcul dudit dispositif temoin 
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etablissent chaque engagement R modulo n selon la methode des restes 
chinois, 

de telle sorte qu'il y a autant d' engagements R que de collections d'aleas 

• etape 2. reception des defis d destines au dispositif temoin: 

- le dispositif demonstrateur comporte des premiers moyens de calcul pour 
calculer, en appliquant une fonction de hachage f ayant comme arguments 
le message m et chaque engagement R pour un jeton T, 

- ledit objet nomade comporte des moyens de transmission pour transmettre 
audit dispositif controleur le jeton T, 

- ledit objet nomade comporte des moyens de reception pour recevoir des 
collections de defis d {dA, dB, ...} produits par ledit dispositif controleur 
au moyen du jeton T, 

• etape 3. reponse du dispositif temoin au defi d : 

- ledit dispositif temoin comporte des troisiemes moyens de calcul pour 
calculer des reponses D, a partir desdites collections de defis d {dA, dB, 
...} refues du dispositif controleur 

en effectuant des operations du type : 

D^ = r. QA^ "^.QB, mod 
puis en appliquant la methode des restes chinois, 

de sorte que le nombre d'operations arithmetiques modulo p. a effectuer par 
les quatriemes moyens de calcul pour calculer chacun des D.^pour chacun 
des p. est reduit par rapport a ce qu'il serait si les operations etaient 
effectuees modulo n, 

de telle sorte qu'il y a autant de reponses D calculees par le temoin que 
d* engagements R et de defis d, 

• etape 4. donnees destinees au dispositif controleur : 

- r objet nomade comporte des moyens de transmission pour transmettre 
audit dispositif controleur chaque reponse D 
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* etape 5. verification par le dispositif controleur : 

ledit dispositif controleur v6rifie la coherence des triplets {R, d, D) et 
Tauthenticite du message m. 

25. Objet nomade selon la revendication 22 pour diminuer la charge 
de travail pendant une session destinee a prouver h un contrSleur la 
signature nunnSrique d'un message m, 
ledit objet nomade faisant intervenir trois entites : 

1 - une premiere entit6, appel6e dispositif temoin, contenue dans 
ledit objet nomade, 

ledit dispositif temoin comporte une premiere zone mdmoire contenant des 
facteurs premiers p,, p^, ... (p, , ...) (i etant superieur ou egal k 2) d'un 
module public n tel que n = Pj-p^. Pa- » 

ledit dispositif temoin comporte aussi une deuxieme zone memoire 
contenant : 

* des composantes QA,, QA^, ... (QA., ...), et QB,, QB^, ... (QB., 
...), representant des cles priv6es QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA,, GA^, ... (GA., ...) et GB,, GB^, ... (GB., ...) 

* un exposant public de verification v 

lesdites paires de cles privees et publiques etant liees par des relations du 
type : 

GA.QA' mod n = 1 ou GA = QA' mod n 

2 - une deuxieme entite appel^e dispositif de signature, pouvant etre 
egalement contenue dans ledit objet nomade, 

3 - une troisieme entite appelee dispositif controleur se pr^sentant 
sous la forme d'un terminal et/ou d'un serveur distant connecte a un r6seau 
de communication informatique, 

ledit objet nomade comporte des moyens de connexion pour connecter 
electriquement, electromagnetiquement, optiquement ou de maniere 
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acoustique ledit dispositif temoin et ledit dispositif de signature audit 
dispositif contrdleur, 

pour prouver la signature d'un message ledit objet nomade execute les 
Stapes suivantes : 

• etape 1. engagement R du dispositif temoin : 

- le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et en prive. a chaque appel, au moins une collection de nombres 
entiers {r„ r„ r,, ...},telle que pour chaque facteur premier p,, chaque 
collection comporte un alea r, positif et plus petit que p, , 

- le dispositif t6moin comporte des deuxiemes moyens de calcul pour elever 
chaque al6a r, k la puissance v ieme modulo p, , pour chaque facteur 
premier Pj, 

jR, = r," mod p, 

de sorte que le nombre d'operations aritiim^tiques modulo p, k effechier par 
les deuxidmes moyens de calcul pour calculer chacun des R, pour chacun 
des p, est reduit par rapport k ce qu'il serait si les operations etaient 
effectuees modulo n, 

- puis, lesdits deuxiemes moyens de calcul dudit dispositif temoin 
etablissent chaque engagement R modulo n salon la mdtfiode des restes 
chinois, 

de telle sorte qu'il y a autant d'engagements R que de collections d'al^as 

• etape 2. d^f! d destine au dispositif temoin : 

- ledit dispositif de signature comporte des troisiemes moyens de calcul 
pour calculer, en appliquant une fonction de hachage f ayant comme 
arguments le message m et chaque engagement R, au moins une collection 
de d6fis d {dA, dB, ...} tels que 0 < dA < v - 1, le nombre des collections 
de defis d etant egal au nombre d'engagements R, chaque coUection {dA, 
dB, ...} comprenant un nombre de d6fis 6gal au nombre de paires de cl^s, 
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- le dispositif de signature transmet les collections de defis d au temoin, 

• etape 3. reponse du dispositif temoin au defi d : 

- ledit dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des r6ponses D, k partir desdites collections de d6fis d {dA, dB, 
...} re9ues du dispositif contrdleur, 

en effectuant des operations du type : 

s r. . QA, *^ . QB. . ... mod p, 
puis en appliquant la methode des restes chinois, 

de sorte que le nombre d' operations arithmetiques modulo p^ k effectuer par 
les quatriemes moyens de calcul pour calculer chacun des D. pour chacun 
des p. est reduit par rapport a ce qu'il serait si les operations 6taient 
effectu^es modulo n, 

de telle sorte qu'il y a autant de reponses D calculees par le temoin que 
d' engagements R et de defis d, 

- Tobjet nomade comporte des moyens de transmission pour transmettre les 
reponses D au dispositif de signature et/ou au dispositif controleur, 

• etape 4. donnees destinees au dispositif controleur : 

- Tobjet nomade comporte des moyens de transmission pour transmettre au 
dispositif controleur un message signe comprenant : 

/ le message m, 

/ les collections de defis d ou les engagements R, 
/ chaque reponse D 

• etape 5. verification par le dispositif controleur : 

ledit dispositif controleur verifie la coherence des triplets {R, d, D} et la 
signature numerique du message m. 

26. Objet nomade selon Tune quelconque des revendications 21 a 25 
tel que les composantes QA,, QA^, ... (QAj , ...), et QB„ QB^, ... (QB. , 
...), ... des cles privees QA, QB, ... sont des nombres tires au hasard k 
raison d'une composante QA. , QB. , ... pour chacun desdits facteurs 
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premiers p„ lesdites cl6s piivees QA, QB, pouvant gtre calculees h partir 

desdites composantes QA„ QA„ ... (QA., ...), et QB„ QB„ ... (QB ), 

par la methode des restes chinois, 

ledit dispositif temoin comportant des huitifemes moyens de calcul pour 
calculer lesdites cles publiques GA, GB, .... 

• en effectuant des operations du type : 

GA, = QA; mod p, 

• puis en appliquant la m6thode des restes chinois pour 6tablir GA tel que 

GAsQA'modn 

ou bien tel que 

GA.QA' mod n s 1 

de sorte que le nombre d'opdrations arithmetiques modulo p, k effectuer par 
les huitiemes moyens de calcul dudit dispositif t6moin pour calculer chacun 
des GA, pour chacun des p, est reduit par rapport k ce qu'il serait si les 
operations etaient effectuees modulo n, 

27. Objet nomade selon la revendication 26 tel que I'exposant public 
de verification v est un nombre premier, 

de sorte que la paire de cles GA, QA confere une securite equivalente k la 
connaissance de la c\6 pri v6e QA. 

28. Objet nomade selon I'une quelconque des revendications 21 k 25 
tel que I'exposant public de verification v est du type 



v = a^ 



oil k est un parametre de s6curit6 plus grand que 1 . 

29. Objet nomade selon la revendication 28 tel que : 

- I'exposant public de verification v est du type 

v = 2' 

oil k est un parametre de securite plus grand que 1, 

- la cle pubUque GA est un carre gA' inferieur k n choisi de telle 
sorte que les deux equations 
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x^ = gAmodn et x^ = -gAmodn 
n'ont pas de solution en x dans I'anneau des entiers modulo n 

- ledit dispositif temoin comportant des neuvifemes moyens de calcul 
pour calculer lesdites composantes QAj, QA^, (QA^ , •..) de la cl6 
privee QA en appliquant des formules telles que : 

GA= QA,™modp. 

ou bien telles que : 

GA .QA/ mod p^= 1 
et en extrayant la k ieme racine carree de GA dans le corps de Galois 
CG(p,), 

de sorte que le nombre d' operations arithmetiques modulo p. k effectuer par 
les neuviemes moyens de calcul du dispositif temoin pour calculer chacun 
des QA. pour chacun des Pj est reduit par rapport a ce qu'il serait si les 
operations etaient effectuees modulo n, 

de sorte que la paire de cles GA, QA confere une securite equivalente k la 
connaissance de la factorisation de n. 

30. Objet noinade selon la revendication 29 tel que pour extraire la k 
ieme racine carree de GA dans le corps de Galois CG(p.), 

* dans le cas ou le facteur premier p. est congru a 3 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme du type : 

X = (p+l)/4 ; y = x*" mod (p-1) ; z = y ; QA. = GA^ mod p. 

* dans le cas ou le facteur premier p. est congru k 1 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme base sur les suites de Lucas. 

31. Dispositif de controle permettant de diminuer la charge de travail 
pendant une session destinee a verifier : 

- Tauthenticite d'une entite et/ou 

- I'origine et Tintegrite d'un message m. 
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ledit dispositif de contrSle se presentant sous la forme d'un terminal ou 
d'un serveur distant connect^ a un reseau de communication informatique. 
ledit dispositif de contrdle mettant en ceuvre : 

- un module public n tel que n soit le produit de facteurs premiers 
secrets p„ p^, ... (p,, ...) (i etant superieur ou 6gal k 2) 

" = Pi-Pj- P3 

- des cles publiques GA, GB, ... 

- des exposants publics de verification vx, vy, ... 

lesdites cles privees GA et les cles publiques associees QA etant liees par 
des relations du type : 

GA.QA" mod n s 1 ou GA s QA"mod n 
ledit dispositif de contrdle faisant intervenir trois entites : 

- une premiere entity, appelee dispositif temoin. contenue notamment 
dans un objet nomade se presentant par exemple sous la forme d'une carte 
bancaire a microprocesseur, ledit dispositif temoin produisant des 
engagements R, 

- une deuxieme entite appelee dispositif pilote dudit dispositif temoin 
pouvant etre contenue notamment dans ledit objet nomade, 

- une troisieme entite, appel6e dispositif controleur, contenue dans 
ledit dispositif de controle, 

ledit dispositif de controle comporte : 

- des moyens de connexion pour connecter electriquement, 
^lectromagnetiquement, optiquement ou de manidre acoustique ledit 
dispositif controleur audit dispositif t6moin et/ou audit dispositif pilote, 

- des moyens de transmission pour transmettre les donnees produites 
par ledit dispositif controleur vers ledit dispositif temoin et/ou ledit 
dispositif pilote, 

- des moyens de reception pour recevoir les donnees provenant dudit 
dispositif temoin et/ou dudit dispositif pilote. 
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ledit dispositif contr61eur comporte : 

- des premiers moyens de calcul pour produire un ou plusieurs defis 
dtelqueO<d<vx-l, 

- des deuxiemes moyens de calcul pour calculer, en fonction des 
reponses D regues dudit dispositif temoin et/ou dudit dispositif pilote, des 
engagements R' en effectuant des operations du type : 

R'.= GA\D*" modn 

ou du type : 

R^GA '=D" modn 

- des troisiemes moyens de calcul pour verifier que les triplets {R% 
d, D} sont coherents 

32. Dispositif de contr6Ie permettant de diminuer la charge de travail 
pendant une session destinee h verifier, 

- Tauthenticite d'une entite et/ou 

- I'origine et I'integrite d'un message m, 

ledit dispositif de contr61e se presentant sous la forme d'un terminal ou 
d'un serveur distant connecte k un reseau de communication informatique, 
ledit dispositif de contrSle mettant en oeuvre : 

- un module public n tel que n soit le produit de facteurs premiers 
secrets p^, (p., ...) (i etant superieur ou egal a 2) 

n = p,.P2* Pa 

- des cles publiques GA, GB, ... 

- un exposant public de verification v 

lesdites cles privees GA et les cles publiques associees QA etant liees par 
des relations du type : 

GA.QA* mod n = 1 ou GA = QA^'mod n 
ledit dispositif de contrdle faisant intervenir trois entites : 

- une premiere entite, appelee dispositif temoin, contenue notamment 
dans un objet nomade^se presentant par exemple sous la forme d'une carte 
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bancaire k microprocesseur, ledit dispositif temoin produisant des 
engagements R, 

- une deuxidme entity, appelee dispositif pUote dudit dispositif 
t6moin, pouvant 6tre contenue notamment dans ledit objet nomade, 

- une troisieme entit6, appelee dispositif controleur. contenue dans 
ledit dispositif de contrSle, 

ledit dispositif de controle comporte : 

- des moyens de connexion pour connecter electriquement, 
electromagnetiquement, optiquement ou de maniere acoustique ledit 
dispositif contrdleur audit dispositif temoin et/ou audit dispositif pilote, 

- des moyens de transmission pour transmettre les donnees produites 
par ledit dispositif contrSleur vers ledit dispositif temoin et/ou ledit 
dispositif pilote, 

- des moyens de reception pour recevoir les donnees provenant dudit 
dispositif t6moin et/ou dudit dispositif pilote, 

ledit dispositif controleur comporte : 

- des premiers moyens de calcul pour produire un ou plusieurs defis 
d {dA, dB, ...} tels que 0 < dA < v - 1, 

- des deuxiemes moyens de calcul pour calculer, en fonction des 
r6ponses D re9ues du dudit dispositif temoin et/ou dudit dispositif pilote, 
des engagements R' en effectuant des operations du type : 

R'=GA'^.GB'"....D modn 

ou du type : 

R' . GA GB -"....= D' mod n 

- des troisi^mes moyens de calcul pour verifier que les triplets {R', 
d, D} sont coherents. ^ 

33. Dispositif de controle selon la revendication 32 permettant de 
diminuer la charge de travail pendant une session destinde a verifier 
I'authenticite d'une entite ; 
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dans le cas d'une authentification d'entite, le dispositif pilote est appele 
dispositif demonstrateur, 

pour prouver Tauthenticite d'une entite ledit dispositif de controle execute 
les etapes suivantes : 

• etape 1. engagement R du dispositif temoin : 

- le dispositif temoin produit au moins un engagement R h partir d'au moins 
une collection d'aleas {r^ r^, ...},telle que, pour chaque facteur premier 
p,, chaque collection comporte un alea r. entier positif et plus petit que p. , 
de telle sorte qu'il y a autant d' engagements R que de collections d'aleas , 

• etape 2. defis produits par le dispositif contrdleur et destines au 
dispositif temoin : 

- lesdits moyens de reception du dispositif de contrSle re9oivent tout ou 
partie de chaque engagement R, transmis par le dispositif demonstrateur, et 
le transmet au dispositif controleur, 

- le dispositif controleur comporte des premiers moyens de calcul pour 
calculer, apres avoir rcgn tout ou partie de chaque engagement R, au moins 
une collection de defis d {dA, dB, ...} tels que 0 < dA < v - 1, le nombre 
des collections de defis d etant egal au nombre d' engagements R, chaque 
collection {dA, dB, ...} comprenant un nombre de defis egal au nombre de 
paires de cles, 

• etape 3. reponse du dispositif temoin aux defis d : 

- ledit dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D , a partir desdites collections de defis d {dA, dB, 
...} re9ues du dispositif controleur, de telle sorte qu'il y a autant de 
reponses D que d' engagements R et de defis d, 

• etape 4, donnees destinees au dispositif controleur : 

- les moyens de reception du dispositif de controle refoivent du dispositif 
demonstrateur chaque reponse D, 

• etape 5. verification par le dispositif contrdleur : 
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ledit dispositif controleur comporte des deuxi^mes moyens de calcul pour 
calculer k partir de chaque reponse D un engagement R' en effectuant des 
operations du type : 

R'= GA GB ... D" mod n 

ou du type : 

R' . GA . GB . . . . = D" mod n 

ledit dispositif contrSleur comporte des troisiemes moyens de calcul pour 
comparer et verifier que chaque engagement reconstruit R» reproduit tout 
ou partie de chaque engagement R transmis k I'etape 2 par le dispositif 
demonstrateur 

34. Dispositif de contrdle selon la revendication 32 permettant de 
diminuer la charge de travail pendant une session destinee k verifier 
r authenticity d'un message m, 

dans le cas d'une authentification d'un message m, le dispositif pilote est 
appel6 dispositif demonstrateur, 

pour prouver rauthenticit6 d'un message m, ledit dispositif de contr61e 
execute les etapes suivantes : 

• etape 1. engagement R du dispositif temoin : 

- le dispositif temoin produit au moins un engagement R k partir d'au moins 
une collection d'aleas {r„ r„ r,, ...},telle que, pour chaque facteur premier 
Pi, chaque collection comporte un al6a r, entier positif et plus petit que p. , 
de telle sorte qu'il y a autant d'engagements R que de collections d'aleas , 

• etape 2. d^fis d produits par ledit dispositif controleur et 
destines au dispositif temoin : 

- lesdits moyens de reception du dispositif de contrdle re^oivent au moins 
un jeton T calcule et transmis par le dispositif demonstrateur en appliquant 
une fonction de hachage f ayant comme arguments le message m et chaque 
engagement R, 

- ledit dispositif controleur comporte des premiers moyens de calcul pour 
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calculer, apr^s avoir re9u le jeton T, au moins une collection de d6fis d 
{dA, dB, ...} tels que 0 < dA < v - 1, le nombre des collections de d6fis d 
6tant egal au nombre d' engagements R, chaque collection {dA, dB, •..} 
comprenant un nombre de defis 6gal au nombre de paires de cles, 

• ^tape 3. reponse du dispositif temoin au defi d : 

- ledit dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des r^ponses D, a partir desdites collections de defis d {dA, dB, 
.••} revues du dispositif contrdleur, de telle sorte qu'il y a autant de 
reponses D calculees par le t6moin que d' engagements R et de d6fis d, 

• £tape 4. donnees destinees au dispositif contrdleur : 

- les moyens de reception du dispositif de contrdle resolvent du dispositif 
demonstrateur chaque reponse D, 

• etape 5. verification par le dispositif contrdleur : 

ledit dispositif contrdleur comporte des deuxiemes moyens de calcul pour 
calculer k partir de chaque reponse D un engagement R' en effectuant des 
operations du type : 

R'=GA**^.GB''"o ...D' modn 

ou du type : 

R'.GA'^.GB*^. «..= D'modn 
ledit dispositif contrdleur comporte des troisiemes moyens de calcul pour 
calculer, en appliquant la fonction de hachage f ayant comme arguments le 
message m et chaque engagement R% le jeton T', 

ledit dispositif controleur comporte des quatriemes moyens de calcul pour 
comparer et v6rifier que le jeton est identique au jeton T transmis a 
r etape 2 par le dispositif demonstrateur. 

35. Dispositif de controle selon la revendication 32 permettant de 
diminuer la charge de travail pendant une session destinee a verifier la 
signature numerique d'un message m, 

dans le cas d'une authentification d'un message m, le dispositif pilote est 
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appele dispositif de signature, 

pour prouver la signature numerique du message m, ledit dispositif de 
contrdle execute les 6tapes suivantes : 

• ^tape 1. engagement R du temoin : 

- le dispositif t6moin produit au moins un engagement R k partir d'au moins 
une collection d'aleas {r., r„ r,, ...},telle que pour chaque facteur premier 
p., chaque collection comporte un alea r, entier positif et plus petit que p, , 
de telle sorte qu'il y a autant d'engagements R que de collections d'al6as 

• etape 2. defis d destines au dispositif temoin : 

- ledit dispositif de signature calcule, en appliquant une fonction de hachage 
f ayant comme arguments le message m et chaque engagement R, au moins 
une collection de d6fis d {dA, dB, ...} tels que 0 < dA ^ v - 1, le nombre 
des collections de d^fis d etant 6gal au nombre d'engagements R, chaque 
collection {dA, dB, ...} comprenant un nombre de d6fis egal au nombre de 
paires de cles, 

- le dispositif de signature transmet les collections de d6fis d au 
t6moin, 

• etape 3. r^ponse du dispositif temoin au defi d : 

- ledit dispositif temoin comporte des quatri^mes moyens de calcul pour 
calculer des reponses D, k partir desdites collections de defis d {dA, dB, 
...}, de telle sorte qu'il y a autant de reponses D calculees par le t6moin que' 
d'engagements R et de d6fis d, 

- ledit dispositif t6moin comporte des moyens de ti-ansmission pour 
transmetti-e les reponses D au dispositif de signature et/ou au dispositif 
contrdleur, 

• etape 4. donnees destinies au dispositif contrdleur : 

- les moyens de r6ception du dispositif de contrSle re9oivent du dispositif 
de signature un message sign6 comprenant : 

/ le message 
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/ les collections de defis d ou les engagements R, 
/ chaque reponse D 

* etape 5. verification par le dispositif contrdleur : 
cas ou le dispositif contrdleur regoit la collection des defis d, 

dans le cas oil le dispositif contrdleur re9oit les collections des defis d et 
des r6ponses D, 

ledit dispositif contrdleur comporte 

* des premiers moyens de calcul pour calculer a partir de chaque 
reponse D un engagement R' en effectuant des operations du type : 

R' = GA*^.GB'"....D^ modn 

ou du type : 

R' . GA GB mod n 

* des deuxifemes moyens de calcul pour calculer chaque defi d', en 
appliquant la fonction de hachage f ayant comme arguments le message m 
et chaque engagement reconstruit R% 

* des troisifemes moyens de calcul pour comparer et verifier que 
chaque defi d' est identique au defi d figurant dans le message signe, 

cas oij le dispositif contrdleur regoit la collection des engagements R 
dans le cas ou le dispositif contrdleur regoit la collection des engagements 
R et des reponses D, 
ledit dispositif contrdleur comporte 

* des premiers moyens de calcul pour calculer chaque defi d', en 
appliquant la fonction de hachage f ayant comme arguments le message m 
et chaque engagement R, 

* des deuxiemes moyens de calcul pour calculer alors la collection 
des engagements R' en effectuant des operation du type 

R'=GA'\GB'''..,.D' modn 

ou du type : 

R' . GA ' . GB . ... = mod n 
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* des troisi^mes moyens de calcul pour comparer at verifier que 
chaque engagement R' reconstruit est identique a I'engagement R figurant 
dans le message sign6. 

36. Dispositif de contrdle selon I'une quelconque des 
revendications 31 k 35 tel que les composantes QA„ QA,, ... (QA,, ...), et 
QB„ QB„ ... (QB,, ...), des cles privies QA, QB, ... sent des nombres 
tires au hasard a raison d'une composante QA. , QB, , ... pour chacun 
desdits facteurs premiers p.riesdites cMs privies QA, QB, pouvant Stre 
calculees h partir desdites composantes QA„ QA,, ... (QA,, ...), et QB„ 
QB„... (QB,,...), .. . par la methode des restes chinois, 
ledit dispositif temoin comportant des moyens de calcul pour calculer 
lesdites cles publiques GA, GB, . . . , 

• en effectuant des operations du type : 

GAj = QA," mod p, 

• puis en appliquant la methode des restes chinois pour dtablir GA tel que 

GA s QA*mod n 

ou bien tel que 

GA.QA'modnsl 

de sorte que le nombre d'op6rations arithmetiques modulo p, k effectuer par 
les huitiemes moyens de calcul dudit dispositif temoin pour calculer chacun 
des GA, pour chacun des p, est r^duit par rapport a ce qu'il serait si les 
operations 6taient effectu^es modulo n, 

37, Dispositif de contr61e selon la revendication 36 tel que 
Texposant public de verification v est un nombre premier, 

de sorte que la paire de cles GA, QA conffere une securite equivalente a la 
connaissance de la cle priv6e QA. 

38. Dispositif de contrdle selon I'une quelconque des 
revendications 31 a 35 tel que I'exposant public de verification v est du 
type 
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oil k est un parametre de securite plus grand que 1 . 

39. Dispositif de controle selon la revendication 38 tel que : 

- Texposant public de verification v est du type 

v = 2'' 

oil k est un parametre de securite plus grand que 1 , 

- la cle publique GA est un carre gA^ inferieur a n choisi de telle 
sorte que les deux 6quations 

= gA mod n et s - gA mod n 
n*ont pas de solution en x dans I'anneau des entiers modulo n 

- ledit dispositif temoin comportant des neuviemes moyens de calcul 
pour calculer les dites composantes QAj, QA^, ... (QAj , ...) de la cle 
privee QA en appliquant des fomiules telles que : 

GA= QA"*"**^' modp^ 

ou bien telles que : 

GA.QA,'^"'*''modpj=l 
et en ex tray ant la k ieme racine carree de GA dans le corps de Galois 
CG(R) 

de sorte que le nombre d' operations arithmetiques modulo p. a effectuer par 
les neuviemes moyens de calcul du dispositif temoin pour calculer chacun 
des QA. pour chacun des p. est reduit par rapport a ce qu'il serait si les 
operations etaient effectuees modulo n, 

de sorte que la paire de cles GA, QA confere une securite equivalente a la 
connaissance de la factorisation de n. 

40. Dispositif de controle selon la revendication 39 tel que pour 
extraire la k ieme racine carree de GA dans le corps de Galois CG(p.), 

* dans le cas oxx le facteur premier p. est congru a 3 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme du type : 
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X = (p+l)/4 ; y = x" mod (p-1) ; z = y ; QA. s GA' mod p, 
* dans le cas ou le facteur premier p, est congm a 1 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme basd sur les suites de Lucas. 
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F^euiUe rectifi^e 



Par consequent, le nombre : x^~v^p^i^/2 (niod p) est alors une 
solution h T Equation : = c (mod p). 

Les relations suivantes sont utilisees pour calculer les suites {U} et {V} 
ensemble. 

Pour doubler V indice, = Ui .v/ ; = — 2.c' 

Pour ajouter 1 k T indice, u^^i = (Smi + v,)/2; v^^i - (A.Mj- + S.Vi)/2 
La procedure suivante utilise trois variables : x pour w., y pour v.et z pour c . 
L'indice cible est (p+l)/2 ; il est code par une sequence de j bits. Cette 
sequence est examinee du bit de poids fort au bit de poids faible. 

1 . Donner a x la valeur 0 ; donner a y la valeur 2 ; doimer k z la valeur 1 . 

2. Repeter j fois la sequence suivante. 

Remplacer x par x,y (mod p). 
Remplacer y par 2.z (mod p) 
Remplacer z par z^ (mod p). 

Si le j ieme bit codant l'indice cible vaut 1, executer la 
sequence suivante. 

Remplacer t par x. 

Remplacer x par (5.r + y)/2 (mod p). 
Remplacer y par (5. r + A.y)/2 (mod /?) 
Remplacer z par z c (mod p). 

3. Remplacer y par y/l (mod Le resultat cherche est y. 
2.2. Algorithme d'Euclide 

L'algorithme d'Euclide opere la division des entiers. Soient deux entiers 
positifs X ety tels que x soit plus grand que y. Divisons x par y pour obtenir 
un quotient q positif et plus petit que ou egal k jc et un reste r positif ou nul 
et plus petit que y. 

Soit, 0< y <x 
Par consequent, jc = q.y + r avec 0<q<x et 0<r<>' 
2.2.1. Coefficients de Bezout et pgcd 



